[thelist] Server validation -- which chars to reject?

.jeff jeff at members.evolt.org
Sat Nov 9 23:00:35 CST 2002


ken,

><><><><><><><><><><><><><><><><><><><><><><><><><><><><><
> From: Ken Kogler
>
> [...] but here's my question -- which characters are
> harmless, [...]
><><><><><><><><><><><><><><><><><><><><><><><><><><><><><

all of them.

><><><><><><><><><><><><><><><><><><><><><><><><><><><><><
> [...] and which ones do I need to explicitly reject?
><><><><><><><><><><><><><><><><><><><><><><><><><><><><><

none of them.

><><><><><><><><><><><><><><><><><><><><><><><><><><><><><
> I'm aware that the single quote "'" can be used in SQL
> Injection attacks, but are there any others that I
> should watch out for?
><><><><><><><><><><><><><><><><><><><><><><><><><><><><><

sure, it can be used in an injection attack, but *not* if you're performing
a replace from "'" to "''", which you should be doing anyway if the
application server doesn't already do it for you.

.jeff

http://evolt.org/
jeff at members.evolt.org
http://members.evolt.org/jeff/




More information about the thelist mailing list