Sv: Skydd mot sql injection

Skydd mot sql injection

Postades av 2008-05-22 22:27:46 - Robert Pehrsson, i forum asp - allmänt, Tråden har 10 Kommentarer och lästs av 1680 personer

Är detta ett dugligt skydd mot sql injection? Har ni några bättre förslag?

Oerhört tacksam för snabbt svar, använder accessdatabas.

anvnamn = Replace(Request.Form("anvnamn"), "'", "''")
losenord = Replace(Request.Form("losenord"), "'", "''")
anvnamn = Replace(anvnamn, "\", "\\")
losenord = Replace(losenord, "\", "\\")

Svara

Sv: Skydd mot sql injection

Postades av 2008-05-22 22:45:50 - Johan Djupmarker

Det ser bra ut. \ är inget escape-tecken i ASP/Access, så det behövs inte. ' kan alltid ställa till det så det är bra om man kan förbjuda det i användarnamn och lösenord. Om du gjort det kan du ta bort ' helt i indatat.

anvnamn = Replace(Request.Form("anvnamn"), "'", "")
losenord = Replace(Request.Form("losenord"), "'", "")

/Johan

Svara

Sv:Skydd mot sql injection

Postades av 2008-05-22 23:00:50 - Robert Pehrsson

Stort tack, är det något mer jag behöver tänka på?

Svara

Sv: Skydd mot sql injection

Postades av 2008-05-22 23:21:26 - Oskar Johansson

Lita aldrig på indata. Det hacket som cirkulerar nu verkar som att det bygger på att folk skickar "integers" rakt in i sql-strängen (typ id-nummer i en querystring etc)

Svara

Sv:Skydd mot sql injection

Postades av 2008-05-23 10:01:55 - Robert Pehrsson

Här är lite kod som jag använder på en news sida.

If Request.QueryString("id") <> "" Then
sql = "select * from articles where typ = 'Nyheter' and id = "&Request.Querystring("id")&" order by id desc"
End If

Den körs om man klickat på någon nyhetsöverskrift. Om jag förstår rätt är även detta motagligt för sql injection om någon skriver lite kod i urlfältet?

Svara

Sv: Skydd mot sql injection

Postades av 2008-05-23 10:37:41 - Johan Djupmarker

Japp, genom att konvertera till ett heltal först så kommer det bli ett felmeddelande istället om det är något annat än ett tal i strängen.

sql = "select * from articles where typ = 'Nyheter' and id = " & CInt(Request.Querystring("id")) & " order by id desc"

/Johan

Svara

Sv:Skydd mot sql injection

Postades av 2008-05-23 12:31:22 - Andreas Thorarins

Vill bara inflika lite, att komma förbi utbyte av ' mot '' är väldigt enklet , genom att skicka tex hex koder

Parametrar däremot skyddar rätt bra mot sqlinjection, så använd dem och konkatenera aldrig ihop användar inmatad information till en sql fråga.

Svara

Sv: Skydd mot sql injection

Postades av 2008-05-23 21:45:49 - Samuel Adolfsson

"input validation" är ett fundamentalt begrepp inom webb-utveckling:

http://msdn.microsoft.com/sv-se/library/aa302418(en-us).aspx#c02618429_009

En generell rekommendation är att använda regular expressions.

Svara

Sv:Skydd mot sql injection

Postades av 2008-05-23 22:27:55 - Oskar Johansson

Annars kommer man väldigt långt med parameteriserade frågor, finns ingen anledning att köra annat, minimalt med strul, och säkerhetsmässigt ligger det väldigt bra till

Svara

Sv: Skydd mot sql injection

Postades av 2008-06-11 12:59:38 - Ludvig Fjell

Har du testat SecureRequest?
http://www.securerequest.net

Det är en modul som ersätter det inbyggda Request objektet - sedan filtrerar den bort skadliga SQL kommandon.

Svara

Skydd mot sql injection

Sv: Skydd mot sql injection

Sv:Skydd mot sql injection

Sv: Skydd mot sql injection

Sv:Skydd mot sql injection

Sv: Skydd mot sql injection

Sv:Skydd mot sql injection

Sv: Skydd mot sql injection

Sv:Skydd mot sql injection

Sv: Skydd mot sql injection

Nyligen

Sidor

Statistik

Kontakta oss