blog4smart Голосов: 1 Адрес блога: http://blog4smart.com Добавлен: 2009-05-13 22:03:03 блограйдером psyxoz

Очень интересный вариант защиты от SQL-инъекций и XSS

Суть техники сводится в подстановке в SQL-запросах всех данных в base64-представлении и таким образом нет смысла использовать какие либо парсеры/анализаторы используемых в SQL-запрос данных (placeholders и т.д.).

Простой пример: «SELECT * from mytable where textfield=base64_decode('Q29vbEhhY2tlcnM=')» где base64_decode — функция декодирования из base64, релализуемая конкретной БД.

В base64 отстуствуют спецсимволы и следовательно никаких угроз нашему запросу от вносимых в него данных не будет. Нет необходимости как-то экранировать или изменять входные данные. Достаточно закодировать их в base64 и передать в запросе.