sql inj

**gianvenezia** · 25-09-2006, 17:35

ho un sito fatto in asp, un gentilissimo utente
mi ha contattato via email dal sito stesso parlando di un problema
di sql inj, e scrivendomi il nome di alcune tabelle del db,
che in effetti esistono!
ho letto vari articoli ma non ho trovato modo di sapere
che stringa ha usato il cliente per scovare le tabelle,
ciò mi permetterebbe di mettere a punto una contromisura + efficace...
se cè qualcuno che ha già provato ...

il sito è www.lafataeildrago.com

**Roby_72** · 25-09-2006, 17:41

Basta poco per bypassare il problema.
Leggi un po': http://www.unixwiz.net/techtips/sql-injection.html

Roby

**gianvenezia** · 25-09-2006, 17:49

si si , avevo letto anche questo articolo ieri, avevo cercato nel forum avevo trovato anche questo,ma la mia domanda era se sapevate che cavolo di stringa aveva usato l'utente per
sapere le tabelle...
così sarei sicuro che le contromisure che ho approntato ma non ancora uploadato in remoto, funzionano...

**Roby_72** · 25-09-2006, 17:51

Se hai seguito le indicazioni dell'articolo non hai problemi di sql injection.
Non puoi sapere cosa abbia utilizzato.

Roby

**gianvenezia** · 25-09-2006, 17:57

beh si, quindi
è stato bravo lui... non sai che stringa possa aver messo nemmeno tu..

**Roby_72** · 25-09-2006, 18:15

Può essere una o possono essere "n"

Roby

**optime** · 25-09-2006, 18:19

io penso che sia sufficiente limitare username e password a soli caratteri alfabetici e numerici

**gianvenezia** · 25-09-2006, 18:28

penso che l'utente abbia trovato le tabelle del mio db sostiuendo alla pagina catalogo.asp le querystring con una stringa particolare..

**gianvenezia** · 25-09-2006, 18:28

Originariamente inviato da optime
io penso che sia sufficiente limitare username e password a soli caratteri alfabetici e numerici

intende una regexp?

**optime** · 25-09-2006, 18:31

di solito si fa in JS

Discussione: sql inj

Strumenti discussione

Ricerca discussione

Visualizza

sql inj

Permessi di invio