SQL sikkerhed

Forventer du at nogen kan finde problemet udfra deb beskrivelse?

Nej ikke direkte, men måske om det er min kode eller SQL opsætning der er problemet

Nedenstående lidt kode:


Set Conn = Server.CreateObject("ADODB.Connection")
Conn.Open Application( "SQLPath" )

sql = "SELECT * FROM [MainPages] WHERE Afdeling = '" & afd & "'"
   
Set rs = Server.CreateObject("ADODB.RecordSet")
rs.Open sql, conn, 3,3

if rs.bof or rs.eof then
Response.write "<b>Under opbygning</b>"
else

response.write rs.Fields("HovedTekst")


rs.Close
set rs = nothing
conn.Close
set conn = nothing

http://www.web-dev.dk/post/2008/07/14/SQL-injections-mere-end-bare-et-pling.aspx

keysersoze, den første del af artiklen har jeg fået styr på, men den sidste del med SQL kald har jeg ikke helt fat i, dette er et af mine SQL kald:

find = Request.Form("find")
       
sql = "SELECT * FROM [Medarbejder] WHERE Navn LIKE '%" & find & "%' OR Afdeling LIKE '%" & find & "%' OR CPR LIKE '%" & find & "%' OR MedarbejderNr LIKE '%" & find & "%' ORDER by Navn"
           
Set Conn = Server.CreateObject("ADODB.Connection")
Conn.Open Application( "SQLPath" )
           
Set rs = Server.CreateObject("ADODB.RecordSet")
rs.Open sql, conn, 3,3

Alle siderne kræver man er logget ind, så som sikkerhed har jeg følgene i toppen af alle mine sider:


if session("loggedinadmin") = false then
Response.Redirect("/admin/default.asp")
end if

I logon siden bliver session("loggedinadmin") sat til true hvis login er valideret og fundet OK.

Den kode er jo ikke paa nogen maade beskyttet mod SQL injection.

Hvordan beskytter jeg så mit SQL kald mod SQL injection?

find = Request.Form("find")
       
sql = "SELECT * FROM [Medarbejder] WHERE Navn LIKE '%" & find & "%' OR Afdeling LIKE '%" & find & "%' OR CPR LIKE '%" & find & "%' OR MedarbejderNr LIKE '%" & find & "%' ORDER by Navn"
           
Set Conn = Server.CreateObject("ADODB.Connection")
Conn.Open Application( "SQLPath" )
           
Set rs = Server.CreateObject("ADODB.RecordSet")
rs.Open sql, conn, 3,3

Bedste loesning er at bruge parameters!

Kan ud evt. komme med et eksempel på hvordan det skal se ud?

Artiklen viser eksempler på brug med parameters.

Jeg er ved at få en lille smule styr på brug af parameters, jeg har dog lige et enkelt spørgsmål.

hvis jeg ønsker at søge på en del af teksten i et database felt brugte jeg før navn = '" & soegstreng & "'" hvordan håndteres det med parameters?

Jeg vil gætte på at du benytte LIKE og ikke det du lige skrev - det vil i hvert fald ikke virke efter hensigten. Bortset fra det er der ingen syntaksmæssig forskel i forhold til parameters på at benytte LIKE og =. Fx;

... column LIKE '%' + @query + '%'...

Jeg har fundet denne løsning:  column like ? + '%'", som sådan set er den samme som keysersoze.

Kan du fortælle mig hvad betydning tallene 200, 1 ,50 har?

Cmd.Parameters.Append(Cmd.CreateParameter("@by", 200, 1, 50, Request.Querystring("by")))

PS. jeg her helt ny i brugen af parameter

Jeg har selv fundet en god artikel som dækker mit sidste spørgsmål: http://www.w3schools.com/asp/met_comm_createparameter.asp

Mange tak for din hjælp keysersoze.