Doppi apici store procedure sql injection

martedì 12 gennaio 2010 - 11.01

ilario Profilo | Senior Member

ciao

prima mandavo al db la stringa sql ora uso le store procedure

usavo un replace dell'apice per raddoppiarla e inserire il dato ,
se lo uso ora mi inserisce nel dato la doppia apice cosa che non mi accadeva prima

pensavo a questo punto di togliere il replace e ho controllato funziona bene ma come mi comporto per sql injection


ciao
ilario


alx_81 Profilo | Guru

>ciao
ciao

>pensavo a questo punto di togliere il replace e ho controllato
>funziona bene ma come mi comporto per sql injection
è sufficiente usare a modo le stored procedure, dove per a modo intendo stored con parametri ATOMICI e non composizioni di clausole WHERE, sennò siamo daccapo.
Leggi qui per maggiori info:
http://www.dotnethell.it/articles/SQL-Injection-Tutorial-Security.aspx

--

Alessandro Alpi | SQL Server MVP
MCP|MCITP|MCTS|MCT

http://www.alessandroalpi.net
http://blogs.dotnethell.it/suxstellino
http://mvp.support.microsoft.com/profile/Alessandro.Alpi

ilario Profilo | Senior Member

grazie

ok allora tolgo tutti i replace


ho letto il tuo articolo ma non sono sicuro di aver compreso tutto

un esempio della mia store è questa

ALTER PROCEDURE [dbo].[sp_Appuntamenti_SelId] @idAppuntamenti int AS BEGIN SET NOCOUNT ON; SELECT * FROM Appuntamenti WHERE idAppuntamenti = @idAppuntamenti END


mentre il codice che uso è in vb

Dim Dc As New SqlClient.SqlCommand("sp_Appuntamenti_SelId") Dc.CommandType = CommandType.StoredProcedure Dc.Parameters.Add("IdAppuntamenti", SqlDbType.Int).Direction = ParameterDirection.Input Dc.Parameters("IdAppuntamenti").Value = numeroRecord Dc.Connection = DbDati.DB Dim Dr As SqlClient.SqlDataReader = Dc.ExecuteReader

è corretto o devo cambiare?

grazie ancora
ilario

alx_81 Profilo | Guru

>grazie
>ho letto il tuo articolo ma non sono sicuro di aver compreso tutto
sì, tutto a posto, basta usare le stored procedure ed i parametri come hai fatto tu
--

Alessandro Alpi | SQL Server MVP
MCP|MCITP|MCTS|MCT

http://www.alessandroalpi.net
http://blogs.dotnethell.it/suxstellino
http://mvp.support.microsoft.com/profile/Alessandro.Alpi

ilario Profilo | Senior Member

perfetto

grazie mille

ilairo
Partecipa anche tu! Registrati!
Hai bisogno di aiuto ?
Perchè non ti registri subito?

Dopo esserti registrato potrai chiedere
aiuto sul nostro Forum oppure aiutare gli altri

Consulta le Stanze disponibili.

Registrati ora !
Copyright © dotNetHell.it 2002-2017
Running on Windows Server 2008 R2 Standard, SQL Server 2012 & ASP.NET 3.5