<div dir="ltr">On Wed, Jun 26, 2013 at 11:38 PM, Shlomi Fish wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<div><div class="h5"><br>&gt; Here is another example, some time ago: a user tries to store values into a<br>
&gt; DB table.<br>
&gt; The problem that he is actually having: values not interpolating into the<br>
&gt; query string. (he used single-quote with the variables embedded)<br>
&gt; When I arrived to the scene, he was getting a long explanation about the<br>
&gt; dangers of SQL injection. nobody helped him with the actual problem.<br>
&gt; His data source: his research data&#39;s csv file. No problem with SQL<br>
&gt; injection here.<br>
&gt; I solved the problem, and told him to ignore everything that they said. And<br>
&gt; that if one day he will write a web app, he should learn a bit about that<br>
&gt; &quot;SQL injection&quot; that they talked about.<br>
&gt;<br>
<br>
</div></div>Well, SQL Injection is a big problem also outside the realm of web<br>
applications, and you should always use placeholders:<br>
<br>
* <a href="http://bobby-tables.com/" target="_blank">http://bobby-tables.com/</a><br>
<br>
* <a href="http://perl-begin.org/topics/security/code-markup-injection/" target="_blank">http://perl-begin.org/topics/security/code-markup-injection/</a><br>
<br>
* <a href="http://en.wikipedia.org/wiki/SQL_injection" target="_blank">http://en.wikipedia.org/wiki/SQL_injection</a><br>
<br>
So I believe their instruction was in place.<br></blockquote><div><br></div><div>Thank you Shlomi, for teaching me what is this SQL injection that everybody was talking about. </div><div><br></div><div>Triple ufff.</div>
<div><br></div><div>Shmuel.</div></div></div></div>