Funziona per l'injection

**zetaweb** · 11-02-2009, 12:41

Ciao ragazzi,
una domanda che forse è un pò stupida.
ho usato questa funzione per recuperare i dati da login:

codice:

Function FixSQL(stringa)
stringa = Replace(stringa, "'", "''")
stringa = Replace(stringa, "%", "[%]")
stringa = Replace(stringa, "[", "[[]")
stringa = Replace(stringa, "]", "[]]")
stringa = Replace(stringa, "_", "[_]")
stringa = Replace(stringa, "#", "[#]")
FixSQL = stringa
End function

Adesso però se un utente si registra come
username = mio_nome
quando vado a fare la select utilizzando poi quella funziona non lo recupera.
E' perchè devo usare questa funzione anche quando inseriscono i nomi in fase di registrazione?
Grazie a tutti

**optime** · 11-02-2009, 13:17

se ti da' fastidio, perché lo fai?

**zetaweb** · 11-02-2009, 13:23

dici tu a questo punto glielo toglo proprio il controllo dell'underscore, eh?

**optime** · 11-02-2009, 13:24

zeta, guarda che non ho capito niente: né perché lo fai, né quale sia il problema.

**zetaweb** · 11-02-2009, 13:40

ok mi spiego meglio.
La funzione la faccio per evitare rischi dovuti all'sql injection.

il problema è che un utente che si chiama per esempio
mio_nome
non riesce a fare il login perchè chiaramente nella funzione c'è un replace che modifica il nome dell'utente non facendolo piu ritrovare nel db.

eliminando la riga del replace dell'underscore riesco a fare in modo che il login vada a buon fine, ma poi sono sicuro contro la sql injection?

Grazie mille

**Roby_72** · 11-02-2009, 13:56

Ciò che non vuoi che valga *DOPO*, quindi in fase di login, non deve valere nemmeno *PRIMA*, ovvero in fase di registrazione.
Se fai registrare un utente con l'underscore e poi non vuoi che lo digiti per entrare non ti sembra un controsenso???
Quindi al limite impedisci di registrarsi usando le stesse precauzioni che andrai poi a verificare in fase di login.

Roby

**optime** · 11-02-2009, 13:58

e poi non ho capito: in che modo mettere [_] a posto di _ impedirebbe la sql injection? tra l'altro, il carattere [ in m$sql ha un suo significato...

**zetaweb** · 11-02-2009, 14:26

ecco il perchè della mia domanda.
grazie cmq le risposte

**optime** · 11-02-2009, 15:32

Originariamente inviato da zetaweb
ecco il perchè della mia domanda.
grazie cmq le risposte

ho capito bene? vuoi sapere da NOI perché TU hai fatto una certa cosa. fantastico

**zetaweb** · 11-02-2009, 15:55

io davvero non capisco il perchè di questa ironia inutile sinceramente...

Apprezzo moltissimo il lavoro di tutti quelli che rispondono su questo forum senza che niente gli sia dovuto, tu compreso che sei uno dei piu preparati sull'argomento, eppure sarebbe bastato semplicemente dire "guarda credo che la tua funzione sia sbagliata per proteggersi dall'sql injection" visto che la domanda riguardava proprio la funzione in sè, o cmq cercare di dare un suggerimento valido, un consiglio efficace su come ragionare come quello di roby senza usare un tono saccente come in

e poi non ho capito: in che modo mettere [_] a posto di _ impedirebbe la sql injection? tra l'altro, il carattere [ in m$sql ha un suo significato...

o ancora

ho capito bene? vuoi sapere da NOI perché TU hai fatto una certa cosa. fantastico

Ripeto, ho sempre apprezzato e utilizzerò sempre questo forum per chiedere consigli e anche per darne quando ne sono ingrado, ma penso sia importante saper dare consigli nella maniera più corretta.

Grazie mille ugualmente e buon lavoro a tutti

Discussione: Funziona per l'injection

Strumenti discussione

Ricerca discussione

Visualizza

Funziona per l'injection

Permessi di invio