Mi hanno violato il DATABASE!!

**marcog** · 14-03-2007, 08:12

Hanno forzato un mio sito sostituendo in maniera sistematica quasi tutti i contenuti del database MS SQL Server con la firma [kerem125 gsy by_emR3].
E' un problema di sicurezza del provider?
Oppure esiste qualche attacco alle applicazioni web tipo: Cross site scripting, SQL injection, Google hacking. Come faccio a verificarlo senza spedere centinaia di dollari per software come quello della "acunetics"?

Avete qualche dritta da darmi?

A quanto pare, utimamente sta diventando sempre più un giungla..!!

**Killer99** · 14-03-2007, 14:47

SQL injection

è capitato anche a me...

come ho risolto..

codice:

Function FixSQL(stringa)
stringa = Replace(stringa, "'", "''")
stringa = Replace(stringa, "%", "[%]")
stringa = Replace(stringa, "[", "[[]")
stringa = Replace(stringa, "]", "[]]")
stringa = Replace(stringa, "_", "[_]")
stringa = Replace(stringa, "#", "[#]")
FixSQL = stringa
End function

operatore     = fixsql(request.form("operatore"))

**marcog** · 14-03-2007, 15:10

Grazie! nel frattempo ho trovato anche questa risorsa:
http://www.unixwiz.net/techtips/sql-injection.html
..se può tornarti utile.

**Killer99** · 14-03-2007, 15:26

tnkx
conoscevo già ^^
ho imparata anche grazie a quella ^^

**marcog** · 15-03-2007, 09:21

Qualcuno di voi ha già usato query parametriche con ASP classic? Sono possibili, oppure si usano solamente in ASP.NET?
Come si formattano?

Grazie.

**wallrider** · 15-03-2007, 09:48

mi pare di aver capito con l'oggetto command+parameter

Discussione: Mi hanno violato il DATABASE!!

Strumenti discussione

Ricerca discussione

Visualizza

Mi hanno violato il DATABASE!!

query parametriche con ASP

Permessi di invio