Incercam astazi sa caut care este cea mai buna ruta pentru a merge din Cluj-Napoca in Arad, iar domnul Google m-a dus la urmatoarea adresa url:
http://mersul-trenurilor.infoturism.ro/mersul_trenurilor_arad_cluj-napoca.php
Pagina returnata avea urmatorul continut:
O persoana cu putina imaginatie poate ar putea sa execute o comanda SQL precum un DELETE.
In cazul in care lucrati la o aplicatie de orice fel (in special web) nu uitati sa tratiti mesajele de eroare intr-un mod corespunzator, iar la un end-user sa nu afisati niciodate query din baza de date.
Un mesaj generic este mai mult decat suficient pentru un muritor.
http://mersul-trenurilor.infoturism.ro/mersul_trenurilor_arad_cluj-napoca.php
Pagina returnata avea urmatorul continut:
SELECT DISTINCT traseu.id, traseu.ora, traseu.id_tren,
traseu.id_statie, gari.nume FROM traseu, gari
WHERE traseu.id_statie = gari.id
AND id_tren
IN (536,534,1834,1843,1766)
ORDER BY traseu.ordine, traseu.id1054
- Unknown column 'traseu.ora' in 'field list'
Rezultatul returnat mi s-a parut destul de dragut, mai ales ultima parte a sa. In mod normal ar fi trebuit sa vedem o pagina de eroare frumoasa, dar in schimb apare un SELECT, care ne expune o mica parte din baza de date.O persoana cu putina imaginatie poate ar putea sa execute o comanda SQL precum un DELETE.
In cazul in care lucrati la o aplicatie de orice fel (in special web) nu uitati sa tratiti mesajele de eroare intr-un mod corespunzator, iar la un end-user sa nu afisati niciodate query din baza de date.
Un mesaj generic este mai mult decat suficient pentru un muritor.
Vreun programator PHP care nu o auzit de set_error_handler.. - macar in ASP.NET avem customErrors care are valoarea implicita remoteOnly, deci si daca programtrul uita, e cat de cat safe by default daca nu s-a jucat la customErrors.
ReplyDelete