<div dir="ltr"><div class="gmail_default" style="font-size:small">Your attached file seems to have been lost to the list...</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">
A classic SQL vulnerabilitiy that can be detected automatically is not using prepared SQL statements rather than an exec query. Here's an article that shows examples of both:<a href="http://stackoverflow.com/questions/1703203/in-sqlite-do-prepared-statements-really-improve-performance">http://stackoverflow.com/questions/1703203/in-sqlite-do-prepared-statements-really-improve-performance</a>. </div>
<div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">The reason to use prepared statements is *not* speed but rather security: Using prepared statements there is no way I can change the prepared SQL statement into anotherthat command; it's relatively easy to do with an exec, if I can control some portion of the data inserted into the exec (usually through concatenation).</div>
<div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Just a thought.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">
Paul</div></div><div class="gmail_extra"><br clear="all"><div><div dir="ltr"><br>Paul Hanchett<br>-------------------<br>Infotainment Engineer<br>MSX on behalf of Jaguar Land Rover<br>One World Trade Center, 121 Southwest Salmon Street, 11th Floor, Portland, Oregon, 97204<br>
<br>Email:<a href="mailto:phanchet@jaguarlandrover.com" style="color:rgb(17,85,204)" target="_blank">phanchet@jaguarlandrover.com</a><br>-------------------<br><br>Business Details:<br>Jaguar Land Rover Limited<br>Registered Office: Abbey Road, Whitley, Coventry CV3 4LF<div>
Registered in England No: 1672070</div></div></div>
<br><br><div class="gmail_quote">On Tue, Sep 10, 2013 at 9:33 PM,   <span dir="ltr"><<a href="mailto:slava@ifaced.ru" target="_blank">slava@ifaced.ru</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi. Problem with certification. Application rejected with defect "Security vulnerabilities in WebApp is detected. For more information about the issue, please refer to the attached file.". Attached file is a list of methods from JayData library with name "executeQuery" and the line number in the file. Example:<br>

<br>
cmd.executeQuery [SqLiteProvider.js]<br>
sqlCommand.executeQuery [SqLiteProvider.js]<br>
operationProvider.<u></u>storageProvider.executeQuery [IndexedDbProvider.min.js, IndexedDbProvider.js]<br>
f.storageProvider.executeQuery [jaydata.min.js]<br>
command.executeQuery [SqLiteProvider.js]<br>
e.entityContext.executeQuery [jaydata.min.js]<br>
data.QueryCache.executeQuery [jaydata.min.js]<br>
g.executeQuery [SqLiteProvider.min.js]<br>
a.executeQuery [jaydata.min.js]<br>
this.entityContext.<u></u>executeQuery [jaydata.min.js]<br>
<br>
There is no explanation of category of vulnerabilities and how to reproduce it. I think that this is result of automatic code scanner work and just a mistake, but in comments to issue no one answered.<br>
<br>
Who ever encountered a problem like this? How to solve?<br>
<br>
Content ID 000000004857<br>
Defect ID 2218460<br>
______________________________<u></u>_________________<br>
Application-dev mailing list<br>
<a href="mailto:Application-dev@lists.tizen.org" target="_blank">Application-dev@lists.tizen.<u></u>org</a><br>
<a href="https://lists.tizen.org/listinfo/application-dev" target="_blank">https://lists.tizen.org/<u></u>listinfo/application-dev</a><br>
</blockquote></div><br></div>