Query parametrizzate per SQL injection

**optime** · 16-07-2009, 15:07

Originariamente inviato da luigi.amorfini
salve, mi avevano detto una volta che e meglio far passare i campi richiesti ad es:
riprendo il codice soprapposto:

codice:

SQL_Legge &= "SELECT NomeUtente,PasswordUtente"
   SQL_Legge &= "FROM tbUtenti "
   SQL_Legge &= "WHERE "
   SQL_Legge &= "NomeUtente = "  & varNomeUtente 
   SQL_Legge &= "AND "
   SQL_Legge &= "PasswordUtente = " &  varPasswordUtente

Cosi non possono richiamare altri campi.

Lo visto usare in php. poi in asp net non so se si fà la stessa cosa, ma penso di si perchè tanto è una query.

Io sto faccendo cosi.
Non uso * , se no è quello il rischio.(forse).

Saluti,
luigi.
Buona giornata.

questa sì che è a rischio...

**Igor Baldacci** · 16-07-2009, 15:42

L'attacco che ho subito è stato bello tosto e non ho ancora capito se si tratta effettivamente solo di SQL injection o magari di violazione vera e propria del server.

I sintomi sono stati: cancellazione di tutti i contenuti dei campi testo IN OGNI TABELLA del DB e inserimento di una stringa di tipi "<script>bla bla...</script>" al posto del testo, e poi caricare dei file .js sul sito (da qui il mio dubbio che si tratti solo di injection mha!).

Tornando a noi quindi, volevo capire se le query parametrizzate che uso (e che vi ho postato) potevano tutelarmi dall'injection.

Tutto qua... sono abbastanza affranto, e se qulcuno ha ulteriori suggerimenti "di tutela" ben vengano.

**optime** · 16-07-2009, 15:45

potrebbe non essere assolutamente una sql injection

1. il tuo server è in hosting? potrebbe essere un problema dell'hoster
2. che db usi?

**Igor Baldacci** · 16-07-2009, 16:53

il server non è in hosting, ma non lo gestisco io personalmente (chi lo fa sta analizzando il problema dal suo punto di vista).
il DB e MS SQL Server

**optime** · 16-07-2009, 16:54

1. aspettiamo cosa dice il teNNico
2. prova ad investigare nel log

guest.1 · 16-07-2009, 18:28

Originariamente inviato da optime
questa sì che è a rischio...

ok,grazie per la segnalazione.
allora, mi sa che si deve fare dei replace ?

Giusto?

**optime** · 16-07-2009, 18:33

guarda che va benissimo l'uso dei parametri, come ha fatto Igor

guest.1 · 16-07-2009, 18:36

Originariamente inviato da optime
guarda che va benissimo l'uso dei parametri, come ha fatto Igor

ok, anche io ho fatto come igor , uso i parametri mà però per mysql.

allora vanno benissimo i parametri?.

**optime** · 16-07-2009, 18:39

vuoi che ti confermi che la conferma della conferma confermi che ho confermato che la conferma (con conferma) confermi la conferma della conferma? boh, magari stanotte mi ricrescono i capelli lunghi e biondi

guest.1 · 16-07-2009, 19:33

Originariamente inviato da optime
vuoi che ti confermi che la conferma della conferma confermi che ho confermato che la conferma (con conferma) confermi la conferma della conferma? boh, magari stanotte mi ricrescono i capelli lunghi e biondi

eccoti :

http://msdn.microsoft.com/en-us/library/ms998271.aspx

ciao.

Discussione: Query parametrizzate per SQL injection

Strumenti discussione

Ricerca discussione

Visualizza

Permessi di invio