Torna indietro   Hardware Upgrade Forum > Software > Programmazione

Redmi Pad 2 9.7: ampio display, economico e peso contenuto, ma qualche limite nelle prestazioni
Redmi Pad 2 9.7: ampio display, economico e peso contenuto, ma qualche limite nelle prestazioni
Redmi Pad 2 9.7 punta su un display ampio e fluido, una batteria capace di accompagnare l'uso quotidiano senza ansie da ricarica e un prezzo accessibile, a partire da 179,90 euro per la versione con 64 GB di storage. Lo Snapdragon 6s 4G Gen 2 e i 4 GB di RAM della configurazione più diffusa frenano però chi cerca reattività e multitasking spinto: ecco il bilancio dopo due settimane di prova diretta
Peugeot Polygon Concept: ecco il futuro delle utilitarie
Peugeot Polygon Concept: ecco il futuro delle utilitarie
Polygon è la concept car di Peugeot che mostra il futuro delle soluzioni del segmento B: tra design compatti e innovativi affiancati da dimensioni compatte uno scherzo dalla manovrabilità incredibile per le manovre a bassa velocità
Reno16 Pro: il compatto di OPPO punta su fotocamera da 200MP e il nuovo Bubble! La recensione
Reno16 Pro: il compatto di OPPO punta su fotocamera da 200MP e il nuovo Bubble! La recensione
OPPO ha portato in Italia, dal 1° luglio 2026, Reno16 Pro: display AMOLED da 6,32 pollici a 144Hz, tripla fotocamera con sensore principale da 200 megapixel, chip Dimensity 8550 Super e batteria da 6000mAh, al prezzo di lancio di 899 euro. Lo abbiamo provato per due settimane insieme al nuovo accessorio Bubble, per capire se la formula compatta della serie regge ancora di fronte a un listino da 1099 euro
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 08-10-2012, 17:54   #1
oziobao
Member
 
Iscritto dal: Feb 2004
Messaggi: 290
librerie java per analisi stringhe sql alla ricerca di injection

Ciao,volevo chiedervi una cosa che qui in azienda in questi giorni sarebbe utile avere…
dopo problemi con un cliente che ha rilevato problemi (evidenti) di sicurezza nel nostro sw stiamo di corsa tappando varie falle.

In particolare per quanto riguarda sql injection.. oltre a vari controlli che stanno pianificando di far fare nel codice.. volevo sapere se qualcuno è a conoscienza di qualche libreria java che possa cmq in fase di execute dello statement fare una vlautazione di massima sulla stringa sql per identificare eventuali ‘rischi’ di injection per come la query è stata costruita?
oziobao è offline   Rispondi citando il messaggio o parte di esso
Old 09-10-2012, 05:52   #2
sottovento
Senior Member
 
L'Avatar di sottovento
 
Iscritto dal: Nov 2005
Città: Texas
Messaggi: 1722
Quote:
Originariamente inviato da oziobao Guarda i messaggi
Ciao,volevo chiedervi una cosa che qui in azienda in questi giorni sarebbe utile avere…
dopo problemi con un cliente che ha rilevato problemi (evidenti) di sicurezza nel nostro sw stiamo di corsa tappando varie falle.

In particolare per quanto riguarda sql injection.. oltre a vari controlli che stanno pianificando di far fare nel codice.. volevo sapere se qualcuno è a conoscienza di qualche libreria java che possa cmq in fase di execute dello statement fare una vlautazione di massima sulla stringa sql per identificare eventuali ‘rischi’ di injection per come la query è stata costruita?
Le PreparedStatement non sono abbastanza sicure, in particolare per l'sql injection?

Cmq http://sqlmap.org/ potrebbe esserti di aiuto
__________________
In God we trust; all others bring data

Ultima modifica di sottovento : 09-10-2012 alle 06:04.
sottovento è offline   Rispondi citando il messaggio o parte di esso
Old 09-10-2012, 10:00   #3
oziobao
Member
 
Iscritto dal: Feb 2004
Messaggi: 290
ciao e grazie per la risposta
i PreparedStatement sarebbero ovviamente perfetti ma l'applicazione che è molto vasta e complessa non sempre può permettersi di usarli... dove possibile cmq verrà fatto
il link che mi hai dato se non ho capito male è un penetration testing tool
quello che intendevo io era una semplice libreria open alla quale passando una stringa che rappresenta l'sql costruito dall'applicazione da far girare e la analizzasse individuando eventuali rischi per come è stata costruita (per esempio presenze di ; fuori dalle stringhe... aperture di commenti -- e altri eventuali controlli più 'evoluti')

spero di essermi spiegato
oziobao è offline   Rispondi citando il messaggio o parte di esso
Old 10-10-2012, 13:05   #4
sottovento
Senior Member
 
L'Avatar di sottovento
 
Iscritto dal: Nov 2005
Città: Texas
Messaggi: 1722
Il problema, come sai, non e' di facile soluzione.
Googlando un po' (immagino l'avrai gia' fatto anche tu) ho visto che ci sono diversi paper che descrivono librerie per la convalida di una query, al fine di evitare sql injection. Pero' non ho trovato nulla di scaricabile.

Magari potresti guardare questa pagina:
http://www.cc.gatech.edu/~orso/software.html
Il tipo in questione ha fatto qualcosa che sembra interessante, scaricabile pero' su richiesta. Prova a sentirlo.

In alternativa, potresti provare a cercare una libreria per il parsing delle stringhe sql (suppongo siano facili da trovare). Generalmente ti restituiscono un albero di simboli, ovviamente classificati mediante l'analisi lessicale.
A questo punto, potresti confrontare l'albero che ottieni dopo la sostituzione dell'input con quello che ti aspetti di ottenere. Se sono diversi-->zac

My 2 cents






Quote:
Originariamente inviato da oziobao Guarda i messaggi
ciao e grazie per la risposta
i PreparedStatement sarebbero ovviamente perfetti ma l'applicazione che è molto vasta e complessa non sempre può permettersi di usarli... dove possibile cmq verrà fatto
il link che mi hai dato se non ho capito male è un penetration testing tool
quello che intendevo io era una semplice libreria open alla quale passando una stringa che rappresenta l'sql costruito dall'applicazione da far girare e la analizzasse individuando eventuali rischi per come è stata costruita (per esempio presenze di ; fuori dalle stringhe... aperture di commenti -- e altri eventuali controlli più 'evoluti')

spero di essermi spiegato
__________________
In God we trust; all others bring data
sottovento è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


Redmi Pad 2 9.7: ampio display, economico e peso contenuto, ma qualche limite nelle prestazioni Redmi Pad 2 9.7: ampio display, economico e peso...
Peugeot Polygon Concept: ecco il futuro delle utilitarie Peugeot Polygon Concept: ecco il futuro delle ut...
Reno16 Pro: il compatto di OPPO punta su fotocamera da 200MP e il nuovo Bubble! La recensione Reno16 Pro: il compatto di OPPO punta su fotocam...
 Hisense 55U7SE: tuttofare e accessibile, il MiniLED per film, sport e gioco Hisense 55U7SE: tuttofare e accessibile, il Min...
Kindle Scribe Colorsoft: riduce le cornici e diventa a colori, ma il prezzo è alto Kindle Scribe Colorsoft: riduce le cornici e div...
Costruire una VGA in casa senza un chip ...
Renault ha rifiutato due volte BYD: l'az...
Appena 9.000 imprese innovative in 25 an...
Anthropic (di nuovo) sotto accusa: chies...
HP OMEN MAX 16 con RTX 5080 e Core Ultra...
Tilly Norwood arriva al cinema: via all'...
5G slicing per le comunicazioni di emerg...
BYD SHARK, 436 CV e fino a 90 km in elet...
Quali sono i migliori produttori di tecn...
Come guardare YouTube senza pubblicit&ag...
Il telescopio spaziale europeo ESA Eucli...
Addio stampa 3D a strati: il metodo che ...
Data center ed energia green: Aruba acqu...
Windows scarica software non richiesto q...
Auto europea, Bloomberg: uno stabiliment...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 00:28.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.
Served by www3v