SQL Truncation Attacks

Ez a téma számomra új volt. Persze az injectionhöz hasonlóan ez is csak azokat érinti, akik stringkolbászolják az sql parancsokat.

Az ötlet egyébként az, hogy kellően hosszú inputtal az összerakott sql parancs adott esetben nem fér el a cél változóban (pl. varchar(50), így lemarad a parancs vége. Ez azért lehet szivatós, mert bár kiszámolod, limitálod, stb. a bemeneti string hosszakat, de amikor normalizálod a stringet, pl. az aposztrófot kicseréled 2 aposztrófra, akkor máris 2 hely kell egy karakternek. Ezzel aztán jókat lehet hekkelni.

2005-ben tessék nvarchar(max)-ot használni, és ha lehet, nem stringkolbászolni. Tudom, van, amit csak így lehet (hatékonyan) megoldani.