Home Page
Articoli
Tips & Tricks
News
Forum
Archivio Forum
Blogs
Sondaggi
Rss
Video
Utenti
Chi Siamo
Contattaci
Username:
Password:
Login
Registrati ora!
Recupera Password
Home Page
Stanze Forum
ASP.NET 2.0 / 3.5 / 4.0
Contenuto pericoloso
giovedì 18 dicembre 2008 - 11.11
Elenco Threads
Stanze Forum
Aggiungi ai Preferiti
Cerca nel forum
lordwaizard
Profilo
| Senior Member
294
messaggi | Data Invio:
gio 18 dic 2008 - 11:11
Ho una domanda banale da porvi.
Mettiamo il caso che una persona debba inserire il suo nome, tramite una textbox, in un db mssql.
Ovviamente sappiamo tutti che se uno inserisce l'apice si tronca l'operazione.
Questo avviene anche con altri simboli < > [....
Esiste un camando, o un modo per ripulire la stringa prima di inserirla considerando tutti i caratteri "operativi".
In alternativa lo posso fare con la funzione replace, ma dove trovo una tabella con tutti i caratteri che vengono interpretati come comando da mssql?
Grazie in anticipo
Davide Fiorani
rossimarko
Profilo
| Guru
1.173
messaggi | Data Invio:
gio 18 dic 2008 - 11:58
Ciao,
tu concatenando i parametri per creare la stringa sql di aggiornamento?
Esempio: "UPDATE Tabella SET Campo = " + strCampo + "WHERE ID = " + strID
Prova a guardare questo articolo
http://www.dotnethell.it/articles/SQL-Injection-Tutorial-Security.aspx
Ci sono alcuni esempi di come si crea una stringa sql con un commandtext utilizzando i parametri invece che concatenare le stringhe.
Altra cosa da fare poi è una validazione del dato. Nel campo username ad esempio sarebbe importante non far inserire caratteri speciali, questo lo puoi controllare prima dell'inserimento come logica di validazione
-----------------------------------------
Rossi Marco
http://blogs.dotnethell.it/rossimarko
lordwaizard
Profilo
| Senior Member
294
messaggi | Data Invio:
ven 19 dic 2008 - 08:39
Dove trovo la tabella dei "caratteri speciali"?
rossimarko
Profilo
| Guru
1.173
messaggi | Data Invio:
ven 19 dic 2008 - 09:38
Prova a guardare se questo può esserti utile:
http://msdn.microsoft.com/en-us/library/aa226544
(SQL.80).aspx
-----------------------------------------
Rossi Marco
http://blogs.dotnethell.it/rossimarko
Torna su
Stanze Forum
Elenco Threads
Partecipa anche tu! Registrati!
Hai bisogno di aiuto ?
Perchè non ti registri subito?
Dopo esserti registrato potrai chiedere
aiuto sul nostro
Forum
oppure aiutare gli altri
Consulta le
Stanze
disponibili.
Registrati ora !