[Catalanitzador] Problema amb la persistència de logs al servidor de Catalanitzador
Pau Iranzo
paulists a gmail.com
div set 26 07:01:03 CEST 2014
Hola Jordi,
La pose'm aquesta nit en producció, d'acord? (la posaria ara, però he
d'agafar el cotxe 9 hores i si passa alguna cosa no ho podré canviar)
SAlut!
El dia 25 setembre de 2014 21:51, Jordi Mas <jmas a softcatala.org> ha escrit:
> El 20/09/2014 07:52, Pau Iranzo ha escrit:
>
>> Hola,
>>
>> He fet el commit [1]. Caldria fer algunes proves bàsiques de MySQL
>> injection, per veure si el canvi que he fet [2] a la biblioteca de
>> connexió a la bd pot suposar algun problema de seguretat.
>>
>> Algú sap fer això?
>>
>
> Hola Pau,
>
> No sóc cap expert en seguretat o PHP però sembla que la funció
> mysql_real_escape_string que usem protegeix en la majoria de casos. Sembla
> que hi ha casos que no per això[1].
>
> Les dades les enviem a través d'un POST des d'una aplicació. Això té un
> nivell de visibilitat molt més baix que per exemple un formulari obert a
> una web web.
>
> En el pitjor dels casos, el que podria passar és que modifiquessin les
> dades de la base de dades Catalanitzador. Aquesta base de dades només
> l'usem per analitzar dades. Si alteressin les dades no seria un drama.
> Entenc que tenim còpia de seguretat.
>
> Jo el que recomanaria és si ningú té res més a dir pujar-ho a producció.
>
> Atentament,
>
> Jordi,
>
> [1] http://stackoverflow.com/questions/5741187/sql-
> injection-that-gets-around-mysql-real-escape-string
>
> --
> Jordi Mas i Hernàndez -Bloc: http://gent.softcatala.org/jmas/bloc/
> Planet Softcatalà -> http://planeta.softcatala.org
>
-------------- part següent --------------
Un document HTML ha estat eliminat...
URL: <http://llistes.softcatala.org/pipermail/catalanitzador/attachments/20140926/64966d44/attachment.html>
Més informació sobre la llista de correu Catalanitzador