[python] Vkladani listu do SQL prikazu

[superman]

Napadlo Vás, že v tom listu může být naprosto cokoli? A že když je tam 
co nemá být, tak se to dostane do databáze?

Způsob nabourání se liší od databáze k databázi, ale zkuste si to toho 
listu dát třeba pro mysql

nejaky_list = [")", ";drop database jmeno_database;"]

A máte vymalováno, uvolníte spoustu místa na disku zrušením totálně celé 
databáze. Můžete odložit nákup nového disku, na kterém už docházelo 
místo. :-)

Miloslav Ponkrác




Jan Janech napsal(a):
> Osobne tam nevidim nic zle. Nie je to "pitome" riesenie, nakolko sa o 
> vyplnenie a formatovanie stara DB-API a nie ja. Poprosim o ukazku toho, 
> ako to dokaze nejaky cracker naburat.
>
> superman wrote:
>   
>> Já se moc omlouvám, ale proti podobně pitomým řešením se musím ozvat. 
>> Tedy pokud toužíte po tom dát případnému crackerovi do ruky naprosto 
>> ideální nástroj k průniku do vašeho systému tak je toto řešení skvělé. A 
>> pokud takto řešíte listy, tak není pro mě problém vám zvenčí třeba 
>> zrušit celou databázi a vyčistit vám jí dočista do čista pouhým vstupem 
>> zvenku jakožto uživatel.
>>
>> Nehledě na tom, že na některých vstupech v listech to musí selhat tak 
>> jako tak.
>>
>> Takhle se to nedá dělat!
>>
>> Miloslav Ponkrác
>>
>>