Home Page
Articoli
Tips & Tricks
News
Forum
Archivio Forum
Blogs
Sondaggi
Rss
Video
Utenti
Chi Siamo
Contattaci
Username:
Password:
Login
Registrati ora!
Recupera Password
Home Page
Stanze Forum
App. WinForms / WPF .NET
SQL Injection
martedì 26 settembre 2006 - 18.31
Elenco Threads
Stanze Forum
Aggiungi ai Preferiti
Cerca nel forum
alengy
Profilo
| Newbie
28
messaggi | Data Invio:
mar 26 set 2006 - 18:31
Mi scuso innanzitutto per l'ignoranza..
ma mi piacerebbe molto se qualcuno potrebbe spiegarmi con qualche esempio semplice in vb.net cos'è il fenomeno SQL Injection.
Studio da poco il linguaggio su vb 2005 express e ho sempre paura a passare parametri alle funzioni con "&" cioè concatenazione.
Come si possono passare parametri es. tipo ad un msgbox evitando questo fenomeno pericoloso?
Grazie a tutti per la pazienza! Siete tutti molto in gamba!
us01739
Profilo
| Expert
641
messaggi | Data Invio:
mer 27 set 2006 - 08:13
SQL Injection è un tipo di attacco indipendente dal linguaggio utilizzato e carattreristico di quasi tutti i DBMS. Pertanto non è corretto parlare di "...un esemèpio in VB...".
A questo link,
http://www.robertogelmini.com/supporto_bollettini_2005.asp
se ti interessa approfondire puoi trovare una semplice guida rilasciata direttamente dal Ministero della Difesa.
Una volta capito bene di cosa si tratta, capirai sicuramente quali sono le cose importanti per non esporsi al rischio, e magari dopo si può parlare di esempi di codice.
Bye Bye
---------------------------------------------------
Roberto Gelmini - Microsoft Certified Professional
www.robertogelmini.com
---------------------------------------------------
blood
Profilo
| Senior Member
291
messaggi | Data Invio:
mer 27 set 2006 - 08:50
>Mi scuso innanzitutto per l'ignoranza..
ma mi piacerebbe
>molto se qualcuno potrebbe spiegarmi con qualche esempio semplice
>in vb.net cos'è il fenomeno SQL Injection.
>
>Studio da poco il linguaggio su vb 2005 express e ho sempre paura
>a passare parametri alle funzioni con "&" cioè concatenazione.
>
>Come si possono passare parametri es. tipo ad un msgbox evitando
>questo fenomeno pericoloso?
>
>Grazie a tutti per la pazienza! Siete tutti molto in gamba!
Uno dei metodi base per evitare l'injection SQL in programmi in cui operi su database, è proprio l'utilizzo dei parametri in programmazione..ogni parametro ha il suo tipo specifico di valore, e quindi, gestisce automaticamente se il valore immesso non è corretto dando subito errore (cosa che invece non fà se ad un campo intero dai una lettera di alfabeto), inoltre se specifichi un valore ad es. varchar lui ti formatta il tutto ed accetta solo i valori per lui legittimi ignorando gli altri...comunque a riguardo sulla rete ce ne sono un infinità di testi e sono molto interessanti
---------------
Piscopo Paolo
:: wD @ IRCnet :: .NET wannabe 8-)
Torna su
Stanze Forum
Elenco Threads
Partecipa anche tu! Registrati!
Hai bisogno di aiuto ?
Perchè non ti registri subito?
Dopo esserti registrato potrai chiedere
aiuto sul nostro
Forum
oppure aiutare gli altri
Consulta le
Stanze
disponibili.
Registrati ora !