diff --git a/security/database.xml b/security/database.xml index 1a331af75..4add996e2 100644 --- a/security/database.xml +++ b/security/database.xml @@ -291,7 +291,7 @@ $query = "UPDATE usertable SET pwd='hehehe', trusted=100, admin='yes' WHERE Mentre è scontato che un malintenzionato debba possederne almeno alcune nozioni dell'architettura del database per condurre un'attacco riuscito , - è spesso molto semplice ottenere queste informazioni . Per esempio, + è spesso molto semplice ottenere queste informazioni. Per esempio, il codice può far parte di un software open source ed essere disponibile al pubblico. Tali informazioni potranno anche essere divulgate tramite codice closed-source, anche se è codificato, offuscato o compilato - @@ -485,7 +485,7 @@ $stmt->execute(["%{$productId}%"]); - Non stampare informazioni specifiche del database, in particolare + Non stampare informazioni specifiche del database, in particolare sullo schema, con mezzi leciti o illeciti. Vedere anche la Segnalazione degli errori e Funzioni di gestione e registrazione degli errori. @@ -495,11 +495,11 @@ $stmt->execute(["%{$productId}%"]); - Oltre a ciò, puoi trarre vantaggio dalla registrazione delle query all'interno del tuo script - o dal database stesso, se supporta la registrazione. Ovviamente, la registrazione non è in grado - di prevenire alcun tentativo dannoso, ma può essere utile risalire a quale - applicazione è stata aggirata. Il registro non è utile di per sé, ma - attraverso le informazioni che contiene. Generalmente più dettagli ci sono meglio è. + Oltre a ciò, puoi trarre vantaggio dal log delle query da parte del tuo script + o dal database stesso, se lo supporta. Ovviamente, il log non è in grado + di prevenire alcun tentativo dannoso, ma può essere utile per risalire a quale + applicazione è stata colpita. Il registro non è utile di per sé, ma + sono utili le informazioni che contiene. Generalmente più dettagli ci sono nel log meglio è.