ciao a tutti,
in seguito ad un attacco sql injection su un mio sito (questo è un articolo che parla dell'attacco LINK )
ho deciso di fare un replace di tutto cio che arriva da querystring e da post sostituendo le parole exec e declare col nulla.
Ora, siccome ho moltissime pagine su cui mettere mano, mi era venuto in mente di bloccare i permessi execute per l'utente in sql server 2005 (dato che vedo usare la funzione exec durante l'attacco).
Non succede però nulla, cioè sono andato sullo schema a cui appartiene l'utente e negando l'execute non cambia assolutamente nulla.
Cosa sbaglio?Forse non è lo stesso execute che usano per l'attacco?
grazie a tutti
Rispondi quotando