Protezione da Sql Ignecting

[DarioN1]

Salve gente !

Come posso proteggere le mie applicazioni ASP con DB MySql ???

Quando usavo SqlServer o Access risolvevo tutto con l'utilizzo delle stored procedures e dell' ADODB.Command ,

Ma con MySql come si può fare ???

Grassssie

[Roby_72]

Ignecting?
Puoi spiegare cosa vorresti fare?

Roby

[DarioN1]

Praticamente son tecniche di attacco che , inserendo come query string o nei campi form una scringa Sql , riescono a far danni , accedere a zona protette ect...

Per esempio , mettiamo di avere il classico esempio dell'area login con user e password . . .

Una possibile pagina ASP che riceve i dati e fa il check può avere questa query :

codice:

SQL = "SELECT id FROM T_USER WHERE pass='&pass&' AND user = '"&user&"'" 

...

Se noi in "pass" e in "user" ci mettiamo :

codice:

pass = "' or '1' = '1
user = "' or '1' = '1'

La query risulterebbe così :

codice:

SQL = "SELECT id FROM T_USER WHERE pass='' or '1' = '1' AND user = '' or '1' = '1'

Sparando quei dati l'utente si loggherebbe . . .

Claro cosa intendo ???

[sms]

Originariamente inviato da Roby_72
Ignecting?
Puoi spiegare cosa vorresti fare?

Roby

injection
cmq fai replace degli apici

oppure usa questa funzione

codice:

function killChars(strWords)

dim badChars
dim newChars

badChars = array("select", "drop", ";", "--", "insert",  
"delete", "xp_")
newChars = strWords

for i = 0 to uBound(badChars)
newChars = replace(newChars, badChars(i), "")
next

killChars = newChars

end function

''tratta da
''http://www.sitepoint.com/article/sql-injection-attacks-safe/5

[cicetaar]

oppure spezzi la query

prima estrai il campo password in base allo user inserito nel form della pagina prima

poi, se hai un record che abbia quell'username, controlli che il suo campo password coincida con il campo password del form.

è piu difficile da spiegarsi che da mettere in pratica..

son tre linee di codice

ciao, simone