Jscript e query parametrica

mercoledì 29 aprile 2009 - 14.15
Elenco Threads
Stanze Forum
Aggiungi ai Preferiti
Cerca nel forum

miruss Profilo | Newbie

2 messaggi | Data Invio: mer 29 apr 2009 - 14:15
Ciao, vi chiedo un aiuto grandissimo: ho bisogno di proteggere il parametro "Id" con una query parametrica scritta in Jscript perchè continuo ad essere oggetto di attachi SQL Injection. l codice da me modificato non va, lo riporto:

 Il codice sorgente non è stato renderizzato qui
perchè non c'è sufficiente spazio.
Clicca qui per visualizzarlo in una nuova finestra

GRAZIE

alx_81 Profilo | Guru

8.814 messaggi | Data Invio: gio 30 apr 2009 - 10:22
>Ciao, vi chiedo un aiuto grandissimo: ho bisogno di proteggere
>il parametro "Id" con una query parametrica scritta in Jscript
>perchè continuo ad essere oggetto di attachi SQL Injection. l
>codice da me modificato non va, lo riporto:
Il problema nasce dalla concatenazione della tua stringa contenente la query. Devi evitare quegli step in cui concateni la select con le varie clausole (vedi ORDER BY), lì sei vulnerabile.
Se hai un database che consente l'uso di stored procedure, è comodo utilizzarle anche per prevenire l'attacco di tipo SQL Injection.
Abbiamo scritto un articolo che forse potrebbe esserti di aiuto:

http://www.dotnethell.it/articles/SQL-Injection-Tutorial-Security.aspx

>GRAZIE
di nulla!
--

Alessandro Alpi | SQL Server MVP

http://www.alessandroalpi.net
http://blogs.dotnethell.it/suxstellino
http://mvp.support.microsoft.com/profile/Alessandro.Alpi
http://italy.mvps.org

miruss Profilo | Newbie

2 messaggi | Data Invio: sab 2 mag 2009 - 18:45
Ciao,
purtroppo il mio database non mi permette di effettuare stored procedure. Ho seguito il tuo consiglio ed ho eliminato la concatenazione di stringhe lasciando solo l'istruzione sql necessaria
 Il codice sorgente non è stato renderizzato qui
perchè non c'è sufficiente spazio.
Clicca qui per visualizzarlo in una nuova finestra
Il problema è che pur leggendo il vostro scritto a proposito di sql injection non riesco ad effettuare la query parametrica utilizzando jscript.
Se puoi aiutarmi te ne sarei veramente grato altrimenti mi tocca fare più backup del database al giorno per non perdere i dati che vengono continuamente aggiornati con sql injection.
Saluti

alx_81 Profilo | Guru

8.814 messaggi | Data Invio: mar 5 mag 2009 - 12:03
>Ciao,
Ciao

Una delle soluzioni è anche eseguire una replace dei caratteri che possono essere utilizzati per un attacco di tipo sql injection.
Quindi, usa il metodo replace della stringa (javascript), in modo da sostituire i caratteri che possono danneggiare le tue sitruzioni.

--

Alessandro Alpi | SQL Server MVP

http://www.alessandroalpi.net
http://blogs.dotnethell.it/suxstellino
http://mvp.support.microsoft.com/profile/Alessandro.Alpi
http://italy.mvps.org
Torna su
Stanze Forum
Elenco Threads
Partecipa anche tu! Registrati!
Hai bisogno di aiuto ?
Perchè non ti registri subito?

Dopo esserti registrato potrai chiedere
aiuto sul nostro Forum oppure aiutare gli altri

Consulta le Stanze disponibili.

Registrati ora !
Copyright © dotNetHell.it 2002-2024
Running on Windows Server 2008 R2 Standard, SQL Server 2012 & ASP.NET 3.5