hjælp til test af sql-injection

Hej!

Jeg har ikke testet noget omkring sikkerheden, vil vil da lige smide et par kommentarer.

Først og fremmest er det lækkert at se et let og enkelt design. Flot!

En lille grafikfejl: Forsiden står højere end alle undersiderne (kig ex. på logoet på forsiden og se det hopper lidt ned, når man går ind på en underside).

Under søg job, bør i nok overveje, om der ikke skulle være lidt færre rammer omkring de mange input felter. Der er ex. slet ingen grund til at have den lodrette streg mellem felt beskrivelserne og input felterne. Personligt ville jeg nok overveje at fjerne alle streger og enten nøjes med en vandret streg mellem hvert felt, eller måske bare prøve at øge afstanden mellem felterne lidt, så der kommer lidt luft i højden mellem de forskellige input felter.

Jeg er ikke grafiker, og skal derfor passe på at udtale mig om farver, men ... I har valgt orange som en gennemgående farve. Umiddelbart signalerer den discount (ja, i har billige priser), men samtidig mener jeg, at man skal passe på, hvilket signal man sender i en så seriøs situration, som "valg af job/medarbejder". Jeg er også klar over, at I er nødt til at skille jer ud fra "de andre" på markedet, så det er nok ikke et uovervejet valg.

Men alt i alt en meget enkel og indbydende side!

tak for det jeg er ved at rette grafkken til :-)

Tja, validering af input er ikke der hvor i har været flittigst. F.eks.:

job_srch_adv_result.asp
order - angiver tabelnavn, men ingen validering

jobdetails.asp
jobid - ingen validering


jeg forestiller mig at dette er et gentagende mønster..

plx, den skal jeg lige have igen :-) kan du uddbyde ?

Skal jeg uddybe, eller er du blevet klogere?

Jeg sidder lige her i de sene nattetimer og leger lidt med jeres site. Næsten alle steder hvor der er brugerinput, kan det lade sig gøre at få sql serveren til at brokke sig.

Jeg kan se i dit andet spørgsmål, at du har fået links til sider som forklarer hvordan man forhindrer sql injection. De skal nok nærlæses :)

Antag vi har en form med hidden values. F.eks.:

<input type="hidden" name="id" value="666">

Hvor id angiver en brugerprofil. Uden yderligere validering, når den pågældende form submittes, vil den profil med den "skjule" værdi blive opdateret.

Gæt hvilke sjove ting en hacker kan lave, hvis han beslutter at ændre denne værdi?

ALDRIG tag noget som helst forgivet, som kommer fra en bruger. Løsningen til ovenstående er, at bruge id fra brugerens session.

En anden ting man også skal tænke på er kontrol af ejerskab.

Hvis en eller anden ting skal opdateres, og det gøres på baggrund af f.eks. et id angivet som parameter i urlen. Hvis tingen nu blot opdateres, uden kontrol af, om brugeren rent faktisk ejer tingen. Hvad så?

hej plx

tak for din hjælp.. er der mulighed for at jeg kan ringe til dig eller du kan ringe til mig, jeg vil meget gerne betale for at få det her problem løst ..

hej er du der ? :-)

Prøv at kigge på http://www.ngssoftware.com/papers.htm, især http://www.nextgenss.com/papers/more_advanced_sql_injection.pdf
Det viser at du skal passe på ' og ; i din asp kode.
Men du er ikke alene, næsten alle hjemmesider der forbinder sig til en database kan fås til at gå ned, ved lidt kreativ tænkning. Og så er der fri adgang til data, og som regel også resten af netværket.
mvh
Henrik Staun Poulsen