[thelist] Server validation -- which chars to reject?
.jeff
jeff at members.evolt.org
Sat Nov 9 23:00:35 CST 2002
ken,
><><><><><><><><><><><><><><><><><><><><><><><><><><><><><
> From: Ken Kogler
>
> [...] but here's my question -- which characters are
> harmless, [...]
><><><><><><><><><><><><><><><><><><><><><><><><><><><><><
all of them.
><><><><><><><><><><><><><><><><><><><><><><><><><><><><><
> [...] and which ones do I need to explicitly reject?
><><><><><><><><><><><><><><><><><><><><><><><><><><><><><
none of them.
><><><><><><><><><><><><><><><><><><><><><><><><><><><><><
> I'm aware that the single quote "'" can be used in SQL
> Injection attacks, but are there any others that I
> should watch out for?
><><><><><><><><><><><><><><><><><><><><><><><><><><><><><
sure, it can be used in an injection attack, but *not* if you're performing
a replace from "'" to "''", which you should be doing anyway if the
application server doesn't already do it for you.
.jeff
http://evolt.org/
jeff at members.evolt.org
http://members.evolt.org/jeff/
More information about the thelist
mailing list