ciao a tutti,

in seguito ad un attacco sql injection su un mio sito (questo è un articolo che parla dell'attacco LINK )

ho deciso di fare un replace di tutto cio che arriva da querystring e da post sostituendo le parole exec e declare col nulla.

Ora, siccome ho moltissime pagine su cui mettere mano, mi era venuto in mente di bloccare i permessi execute per l'utente in sql server 2005 (dato che vedo usare la funzione exec durante l'attacco).

Non succede però nulla, cioè sono andato sullo schema a cui appartiene l'utente e negando l'execute non cambia assolutamente nulla.

Cosa sbaglio?Forse non è lo stesso execute che usano per l'attacco?

grazie a tutti