Torna indietro   Hardware Upgrade Forum > Software > Programmazione

Recensione Samsung Galaxy Z Fold7: un grande salto generazionale
Recensione Samsung Galaxy Z Fold7: un grande salto generazionale
Abbiamo provato per molti giorni il nuovo Z Fold7 di Samsung, un prodotto davvero interessante e costruito nei minimi dettagli. Rispetto al predecessore, cambiano parecchie cose, facendo un salto generazionale importante. Sarà lui il pieghevole di riferimento? Ecco la nostra recensione completa.
The Edge of Fate è Destiny 2.5. E questo è un problema
The Edge of Fate è Destiny 2.5. E questo è un problema
Bungie riesce a costruire una delle campagne più coinvolgenti della serie e introduce cambiamenti profondi al sistema di gioco, tra nuove stat e tier dell’equipaggiamento. Ma con risorse limitate e scelte discutibili, il vero salto evolutivo resta solo un’occasione mancata
Ryzen Threadripper 9980X e 9970X alla prova: AMD Zen 5 al massimo livello
Ryzen Threadripper 9980X e 9970X alla prova: AMD Zen 5 al massimo livello
AMD ha aggiornato l'offerta di CPU HEDT con i Ryzen Threadripper 9000 basati su architettura Zen 5. In questo articolo vediamo come si comportano i modelli con 64 e 32 core 9980X e 9970X. Venduti allo stesso prezzo dei predecessori e compatibili con il medesimo socket, le nuove proposte si candidano a essere ottimi compagni per chi è in cerca di potenza dei calcolo e tante linee PCI Express per workstation grafiche e destinate all'AI.
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 31-03-2006, 12:13   #1
GiulioCesare
Senior Member
 
Iscritto dal: Apr 2004
Messaggi: 364
[Java/Sql] Problema apice

Salve ragazzi ho un problema con l'esecuzione di una query insert, tramite una procedura java. Il problema è questo, devo inserire un record in una tabella, ma un campo di questa tabella, ha un apice al suo interno, e questo apice sql lo interpreta come carattere di fine stringa, quindi la query, mi va in errore. Premetto che per vari motivi non posso usare il prepate statement con java, ed ho provato a mettere il carattere \\, prima di ogni apice, ma il problema rimane, come posso risolverlo?
Grazie a chi vorrà aiutarmi
GiulioCesare è offline   Rispondi citando il messaggio o parte di esso
Old 31-03-2006, 12:31   #2
sottovento
Senior Member
 
L'Avatar di sottovento
 
Iscritto dal: Nov 2005
Città: Texas
Messaggi: 1722
Puoi salvare la stringa in formato XML?
__________________
In God we trust; all others bring data
sottovento è offline   Rispondi citando il messaggio o parte di esso
Old 31-03-2006, 13:01   #3
ally
Bannato
 
L'Avatar di ally
 
Iscritto dal: Jan 2003
Città:
Messaggi: 4421
...ciao...

...hai indirettamente scoperto ci' che viene chiamato SQL Injection Attacks...

...formatta la query con un metodo simile a questo ed eventualmente trimma dagli spazzi i campi del resultset...

...ciao...

Codice:
protected String format(String field) {
		if (field != null) {
			int rr = field.indexOf("'");
			field = field.replaceAll("'", "''");
		}
		return field;
	}
ally è offline   Rispondi citando il messaggio o parte di esso
Old 31-03-2006, 13:40   #4
sottovento
Senior Member
 
L'Avatar di sottovento
 
Iscritto dal: Nov 2005
Città: Texas
Messaggi: 1722
Quote:
Originariamente inviato da ally
...ciao...

...hai indirettamente scoperto ci' che viene chiamato SQL Injection Attacks...

...formatta la query con un metodo simile a questo ed eventualmente trimma dagli spazzi i campi del resultset...

...ciao...

Codice:
protected String format(String field) {
		if (field != null) {
			int rr = field.indexOf("'");
			field = field.replaceAll("'", "''");
		}
		return field;
	}
Interessante! Puoi dare qualche info in piu'? Per esempio, come si viene sottoposti ad attacco, come fa ad infilare il codice, ...

High Flying
Sottovento

PS.

Codice:
 
		if (field != null) {
			int rr = field.indexOf("'");
			field = field.replaceAll("'", "''");
		}
La indexOf() non serve a nulla
__________________
In God we trust; all others bring data
sottovento è offline   Rispondi citando il messaggio o parte di esso
Old 31-03-2006, 13:49   #5
ally
Bannato
 
L'Avatar di ally
 
Iscritto dal: Jan 2003
Città:
Messaggi: 4421
...ciao...

....si l0index è assolutamente inutile...volevo vedere se eri attento...scherzo...anche il trim del result set non è importante per la risoluzione del tuo problema ma è utile per evitare problemi sui eventuali confronti...

...per quanto riguarda "l'attacco" non si fa altro che sfruttare questo finto bug sugli apici per modellare la query a nostro piacere...

...esempio...

...query = "select * from tabella where variabile = ' "+ valore +" ' ";

...ora se assegnamo alla variabile il valore ciccio' or '1' = '1 ci ritroveremmo una query così...

...query = "select * from tabella where variabile = 'ciccio' or '1' = '1' ";

...di conseguenza la query verrebbe corrotta ed estrarrebbe valori non richiesti...con le dovute modifiche la query puo' risultare veramente pericolosa...

...alla fine pero' basta un controllo sugli elementi che comporranno la nostra query per evitare problemi...

...ciao...
ally è offline   Rispondi citando il messaggio o parte di esso
Old 31-03-2006, 14:04   #6
sottovento
Senior Member
 
L'Avatar di sottovento
 
Iscritto dal: Nov 2005
Città: Texas
Messaggi: 1722
Ok, quindi sta solo a vedere chi (e con quali intenzioni) ha messo l'apice nel campo della tabella di GiulioCesare, giusto?

Una domanda per GiulioCesare: quando hai provato a mettere il backslash davanti agli apici, immagino che tu abbia usato la replaceAll().
L'errore che faccio sempre e' quello di pensare che la replaceAll() cambi la stringa iniziale, per cui scrivo:

myString.replaceAll ("'", "\\\\'");
salvo poi accorgermi che non succede niente. E' per caso quanto hai fatto?
(Ovviamente era
myString = myString.replaceAll ("'", "\\\\'");

High Flying
Sottovento
__________________
In God we trust; all others bring data
sottovento è offline   Rispondi citando il messaggio o parte di esso
Old 31-03-2006, 14:28   #7
GiulioCesare
Senior Member
 
Iscritto dal: Apr 2004
Messaggi: 364
Purtroppo anche con il metodo provosto da ally, si presenta lo stesso problema, comunque posto qui la query come viene modificata dal metodo, per capire dov'è l'errore, guardate all'ultimo campo dove c'è un link all'interno di quel campo, a separare i due url c'è un apice, che è quello da il problema, infatti viene generato un errore di sintassi lì
Codice:
Insert into compagnia ( 
campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo,campo ) values (''1'',''CA'',''24 Sep 1980'',''Ce'',''S.P.A.'',''F.S.H..'',''Impiantica'',''999'',''32415'',''Fortgrup'',''5'',''VI'',''pippo@yahoo.it'',''P.I.A.'',''25Aug2005'',''A'',''A'',''1'',''1'',''03236870924'',''C'',''tr'',''(Impianti per centri elaborazionetesti)'',''587'',''1989'',''3'',''Gruppo'',''10400.00'',''0029-05-24'',''44324324'',''0'',''19 Feb 2006'',''S'',''60'',''19 Feb2002'',''20092423111'',''10400.00'',''200009240000237'',''S.P.A.'',''2002-02-07'',''128062'',''0034-11-23'',''90000000'',''INSERITO'',''Im
piantica'',''Via Cascilina'',''<a href=''http://www.google.com''>http://www.google.com</a>'')
GiulioCesare è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


Recensione Samsung Galaxy Z Fold7: un grande salto generazionale Recensione Samsung Galaxy Z Fold7: un grande sal...
The Edge of Fate è Destiny 2.5. E questo è un problema The Edge of Fate è Destiny 2.5. E questo ...
Ryzen Threadripper 9980X e 9970X alla prova: AMD Zen 5 al massimo livello Ryzen Threadripper 9980X e 9970X alla prova: AMD...
Acer TravelMate P4 14: tanta sostanza per l'utente aziendale Acer TravelMate P4 14: tanta sostanza per l'uten...
Hisense M2 Pro: dove lo metti, sta. Mini proiettore laser 4K per il cinema ovunque Hisense M2 Pro: dove lo metti, sta. Mini proiett...
Sharkoon punta sui case a basso costo, m...
La tua rete Wi-Fi fa pena? Questi FRITZ!...
Amazon, un weekend di fuoco per gli scon...
Ancora 3 smartwatch Amazfit in forte sco...
Sharkoon A60 RGB: dissipatore ad aria du...
HONOR 400 Pro a prezzo bomba su Amazon: ...
Offerte da non perdere: robot aspirapolv...
Apple Watch e Galaxy Watch ai minimi sto...
Il rover NASA Perseverance ha ''raccolto...
NASA e ISRO hanno lanciato il satellite ...
Switch 2 ha venduto 5,82 milioni di cons...
Assassin's Creed Black Flag Remake: le m...
Cosa ci fa una Xiaomi SU7 Ultra alle por...
Promo AliExpress Choice Day: prezzi stra...
Nostalgico, ma moderno: il nuovo THEC64 ...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 16:02.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Served by www3v