Fetstil Fetstil Kursiv Understrykning linje färgläggning tabellverk Punktlista Nummerlista Vänster Centrerat högerställt Utfyllt Länk Bild htmlmode
  • Forum & Blog
    • Forum - översikt
      • .Net
        • asp.net generellt
        • c#
        • vb.net
        • f#
        • silverlight
        • microsoft surface
        • visual studio .net
      • databaser
        • sql-server
        • databaser
        • access
        • mysql
      • mjukvara klient
        • datorer och komponenter
        • nätverk, lan/wan
        • operativsystem
        • programvaror
        • säkerhet, inställningar
        • windows server
        • allmänt
        • crystal reports
        • exchange/outlook
        • microsoft office
      • mjukvara server
        • active directory
        • biztalk
        • exchange
        • linux
        • sharepoint
        • webbservers
        • sql server
      • appar (win/mobil)
      • programspråk
        • c++
        • delphi
        • java
        • quick basic
        • visual basic
      • scripting
        • asp 3.0
        • flash actionscript
        • html css
        • javascript
        • php
        • regular expresssion
        • xml
      • spel och grafik
        • DirectX
        • Spel och grafik
      • ledning
        • Arkitektur
        • Systemutveckling
        • krav och test
        • projektledning
        • ledningsfrågor
      • vb-sektioner
        • activeX
        • windows api
        • elektronik
        • internet
        • komponenter
        • nätverk
        • operativsystem
      • övriga forum
        • arbete karriär
        • erbjuda uppdrag och tjänster
        • juridiska frågor
        • köp och sälj
        • matematik och fysik
        • intern information
        • skrivklåda
        • webb-operatörer
    • Posta inlägg i forumet
    • Chatta med andra
  • Konto
    • Medlemssida
    • Byta lösenord
    • Bli bonsumedlem
    • iMail
  • Material
    • Tips & tricks
    • Artiklar
    • Programarkiv
  • JOBB
  • Student
    • Studentlicenser
  • KONTAKT
    • Om pellesoft
    • Grundare
    • Kontakta oss
    • Annonsering
    • Partners
    • Felanmälan
  • Logga in

Hem / Forum översikt / inlägg

Posta nytt inlägg


Skydda sig mot SQL Injection

Postades av 2007-12-02 19:25:09 - Hassan Fakhro, i forum asp - allmänt, Tråden har 6 Kommentarer och lästs av 1470 personer

Hej!
Det är såhär att jag har fått min admin hackad via sql injection.
Hur skyddar jag mig egentligen?

Så ser min kod ut:

<code>
If Request.QueryString("kontroll") = "1" Then

If Request.Form("username") = "user" And Request.Form("password") = "pass" Then
Session("admin1") = "1"
Session("admin") = "50"
Response.Redirect "admin.asp?steg=1"

Else
Response.Redirect("default.asp")
End If
End If
</code>
Har även mitt login script, de verkar som hackaren får tillgång till informationen i databasen.
Så ser mitt login script ut, snälla hjälp mig skydda mig mot dom!
<code>
If Request.Form("username") = "" OR Request.Form("password") = "" Then
Response.Redirect "index.asp?alert=1"
Else
Set Recset = Connect.Execute("Select password,countdate From medlemmar where username = '" & Request.Form("username") & "' AND aktiv = 'True' AND ban = '1'")
If Recset.EOF Then
Response.Redirect "index.asp?alert=2"
Else
If Recset("password") = Request.Form("password") Then

Session("username") = Request.Form("username")
Session("val") = "inloggad"
</code>

Tacksam för svar.


Svara

Sv: Skydda sig mot SQL Injection

Postades av 2007-12-02 19:57:02 - Per Persson

<b>"Select password,countdate From medlemmar where username = '" & Request.Form("username") & "' AND aktiv = 'True' AND ban = '1'"</b>

Vad händer om man som username matar in <b>' OR 0=0 OR ''='</b> (inkl alla fyra apostrofer)?


Svara

Sv: Skydda sig mot SQL Injection

Postades av 2007-12-02 19:58:05 - Thomas Roman

Det handlar om att rensa bort farliga tecken innan du skickar in den i databasen. Sen kan du göra lösenordskontrollen direkt i din SQL.

<code>
Username = Request.Form("username")
Username = Replace(Username, "'", "''")
Password = Request.Form("password")
Password = Replace(Password, "'", "''")

Set Recset = Connect.Execute("Select countdate From medlemmar where username = '" & Username
& "' AND password = '" & Password & "' AND aktiv = 'True' AND ban = '1'")

If Recset.EOF Then
'Fel användarnamn eller lösenord
Else
Session("username") = Request.Form("username")
Session("val") = "inloggad"
End If
</code>


/Thomas


Svara

Sv:Skydda sig mot SQL Injection

Postades av 2007-12-03 00:19:09 - Hassan Fakhro

Tack för hjälpen.
Men om man försöker injecting via Querystring då?

Mvh Hassan


Svara

Sv: Skydda sig mot SQL Injection

Postades av 2007-12-03 07:41:41 - Per Persson

Använder du QueryString någonting?


Svara

Sv:Skydda sig mot SQL Injection

Postades av 2007-12-03 19:22:32 - Hassan Fakhro

ja, men ja har löst de...
byter ut form mot querystring o ersätter ' med ''

nått mer ja behöver tänka på?


Svara

Sv: Skydda sig mot SQL Injection

Postades av 2007-12-05 11:00:14 - Dan Persson

Ersätt \ med \\. Dessutom måste du se till att alla nummerfält som användaren kan fylla i bara innehåller siffror.

/DaPe


Svara

Nyligen

  • 12:27 Hur vet man vad som är värt och va
  • 12:22 Vad har ni för erfarenheter och ti
  • 15:32 Ruttoptimering för förare
  • 15:32 Några tips om hur man väljer det s
  • 14:53 Har någon här erfarenhet av att an
  • 14:36 Någon som har erfarenhet och kan g
  • 17:41 Har någon av er erfarenhet av att
  • 12:59 Någon som känner till en bra plats
    •

Sidor

  • Hem
  • Bli bonusmedlem
  • Läs artiklar
  • Chatta med andra
  • Sök och erbjud jobb
  • Kontakta oss
  • Studentlicenser
  • Skriv en artikel

Statistik

Antal besökare:
Antal medlemmar:
Antal inlägg:
Online:
På chatten:
4 556 917
27 926
260 264
39 860
0

Kontakta oss

Frågor runt konsultation, rådgivning, uppdrag, rekrytering, annonsering och övriga ärenden. Ring: 0730-88 22 24 | pelle@pellesoft.se

© 1986-2013 PelleSoft AB. Last Build 4.1.7169.18070 (2019-08-18 10:02:21) 4.0.30319.42000
  • Om
  • Kontakta
  • Regler
  • Cookies