Pagina 1 di 1
Ho trovato una SQL injection in un gestionale di ordini PHP usato da un'azienda con 80 dipendenti. Il codice era del 2019, aggiornato più volte, ma la query vulnerabile era sopravvissuta a tutti i refactor. Nel 2026 le SQL injection esistono ancora perché il codice legacy si ammucchia, perché la fretta vince, perché la formazione è discontinua.
In questa categoria scrivo di SQL injection applicata e prevenzione: casi reali trovati in audit (anonimizzati), prepared statement come unica difesa strutturale, taint analysis con Psalm che le trova prima del red team, regex deny-list che non funzionano, sanitization che illude di proteggere.
Se la tua applicazione PHP non ha mai avuto un audit serio, parliamone. Oppure scopri il mio percorso in offensive security.
Ho trovato una SQL injection in un gestionale di ordini PHP usato da un'azienda con 80 dipendenti. Il codice era del 2019, aggiornato più volte, ma la query vulnerabile era sopravvissuta a tutti i refactoring. Vi spiego perché SQLi è ancora viva, quali pattern la nascondono e come fare code review mirata. Continua a leggere
