Programmeringsfel gör att bokningssystem och kundregister ligger öppna

Stämmer detta verkligen? vad är det för välkänt kommando?

läs artikeln http://expressen.se/article.asp?id=108908

Jag har inte läst artikeln, men en klassiker är att skicka formulärfält från websidan direkt in i en sql-fråga. Då kan användaren av sidan skriva en ' i fältet och därefter vilken sql-fråga som helst.

/johan/

Detta stämmer med all säkerhet, man kan göra mycket "kul" saker om formulärfälten inte kontrolleras... Tycker det är synd att man låter "amatörer" göra denna typen av system eftersom det smutskastar tekniken. Enligt min mening är detta ganska grundläggande kunskaper om man ska pyssla med weblösningar proffessionellt, alla kan givetvis göra misstag, men detta är lite för grovt, det måste röra sig om okunskap! Man kan ju fundera på om det finns någon form av säkerhetstänkande i dessa system...

/Johan

var det ingen som läste artikeln om SQL Injection på www.asptoday.com för ngn vecka sedan som beskrev vad man kunde göra om programmeraren "glömt" vissa fundamentalt viktiga saker för säkerheten

OBS! www.asptoday.com kräver tyvärr att man är betalande prenumerant ... men om jag inte missminner mig så var detta en "gratis" artikel

cya,
PatrikB

Hejsan!
Det inloggnings förfarande som beskrivs i denna kurs av Pelle http://www.pellesoft.nu/login/articles/asp/create_your_own_login.asp
är det tillräkligt säkert för att man ska slippas drabbas av detta problem?

Eller hur ska man göra för att skydda sina sidor mot "SQL Injection"?

Bra uppslag till en artikel, men tyvärr kan jag för lite för att skriva en ...


/Tomas

Pelles artikel utför inga kontroller alls, man ska alltså INTE använda det systemet på sin hemsida.

/Johan

Du påstår att koden är säker. Jag ser den som sårbar mot dessa angrepp. Jag är lite nyfiken på varför du antar att den är säker?<br>
<br>
Jag föreslår att man använder generella SQL funktioner överallt. Slipper man några problem och riskerna.<br>
<br>
<code>
Function SQLText(Value)
If Len(Value) > 0 Then
SQLText = "'" & Replace(Value, "'", "''") & "'"
Else
SQLText = "Null"
End If
End Function

sql = "SELECT * FROM tblUsers WHERE " & _
"username = " & SQLText(strUser) & " AND " & _
"password = " & SQLText(strPass)

</code>

För övrigt saknas AND mellan vilkoren i SQL-Satsen

Hej!

>>Du påstår att koden är säker.

Nej, jag anser inte alls att den är säker utan jag undrade följande:
>>är det tillräkligt säkert för att man ska slippas drabbas av detta problem?

Jag gjorde en sökning hos SQL Team på sql injection och fick en hel del träffar, har inte läst något av det men jag misstänker att det finns en hel del intresant att läsa där:
http://www.sqlteam.com/SearchResults.asp?SearchTerms=sql+injection

//Tomas på väg ut i solen

Förlåt att jag misstolkade dig. Skulle läst lite ordentligare.

Finns faktist redan en artikel om detta här på Pellesoft:

'Unclosed quotation mark' - ett vanligt säkerhetsproblem
http://www.pellesoft.nu/login/articles/databas/quotationmark.asp