| От | KuroiNeko |
|---|---|
| Тема | Re: Security hole in PL/pgSQL |
| Дата | |
| Msg-id | 3A7593BE.nail1NF1IN0JY@ed.ed обсуждение исходный текст |
| Ответ на | Security hole in PL/pgSQL (Jan Wieck <janwieck@Yahoo.com>) |
| Список | pgsql-hackers |
> the new EXECUTE command in PL/pgSQL is a security hole. This actually depends but I must admit that I'm concerned too. However, the responsibility for the results should be split adequately IMHO. DBAs should take care about unathorized access to PGSQL server, that's why pg_hba.conf is there. Programmers allowed in must make sure that only relative paths or trusted directories are accessed (stripping out `../' and prepending a pre-defined path is a must) Also, implementation of EXECUTE should probably rely upon execle() with environment dropped to known secure minimum.Sorry if this all is already taken into consideration. Just want to second Jan's statement. -- ������������������
В списке pgsql-hackers по дате отправления:
Сайт использует файлы cookie для корректной работы и повышения удобства. Нажимая кнопку «Принять» или продолжая пользоваться сайтом, вы соглашаетесь на их использование в соответствии с Политикой в отношении обработки cookie ООО «ППГ», в том числе на передачу данных из файлов cookie сторонним статистическим и рекламным службам. Вы можете управлять настройками cookie через параметры вашего браузера