Abuse Melding

Je hebt een klacht over de onderstaande posting:

06-10-2012, 09:57 door Anoniem

Door Anoniem: Een programmeer taal met een fatsoenlijke "prepared statement" interface naar SQL biedt geen mogelijkheid voor SQL injection. Klopt, is dé oplossing tegen SQL injection. SQL injection heb je alleen bij rotzooi zoals de mysql_ functies in PHP waarbij de SQL queries worden opgebouwd door stukjes SQL statement en user input aan elkaar te plakken tot een SQL statement. Totale onzin! SQL injection is een fout van de programmeur, niet van de taal. Het probleem van de mysql_-functies in PHP is dat deze zijn ontwikkeld in de periode dat MySQL helemaal géén ondersteuning had voor prepared statements. Het is een fout van MySQL, dat is gewoon een zeer beperkte database en daar heb je met iedere programmeertaal last van. Ook met Java zou je in die periode géén prepared statements op MySQL hebben kunnen uitvoeren, die optie bestond helemaal niet in MySQL. MySQL was (en is nog steeds) sterk af te raden wanneer je een veilige omgeving nodig hebt. Dat is niet meer van deze tijd, maar keer op ...

Beschrijf je klacht (Optioneel):

captcha