Hvor sikker er SqlDataSource mod SQL injections

SqlDataSource er ret sikker idet den benytter parametre og netop parametre beskytter imod utilsigtet input. Så længe du ikke benytter sa accounten og har krypteret din connection-string hvis den ligger i config så er kontrollerne generelt ret sikre.

Det er også nemt, at få bekræftet hvis du kan gemme tegnet ' eller ":)
Det har Microsoft selvfølgelig taget højde for.

de _kunne_ jo have været (u)smarte at lave en simpel replace så fx dette stadig var muligt;

5;delete * from noget;--

... men sådan er det heldigvis ikke løst :)

Dejligt at hører. Det bekræfter også hvad jeg havde forstået.

keysersoze: hvad er sa accounten?

Kalp: hvad mener du at man får bekræftet ved at indtaste "'?

Du har jo oprettet en connection til din database og deri har du anvendt en bruger og et password.
Så hvad accounten er ved du nok bedst selv;)

angående ' og "
hvis du indtaster det via. din  edit funktion i dine felter, så ville det give en fejl normalt (hvis man ikke har taget højde for SQL injection) men hvis tegnene bliver gemt i din databse, så er der ingen problemer;) og SQL injection problematikken er håndteret for dig.

Tusind takker..

Kan i ikke begge kaste et svar ind så i kan få nogle points.

Der bør generelt ikke være nogle problemer med at indtaste " - det er kun ' der afslutter et tekstinput og dermed i den retning kan åbne for injection.

sa account er den standard account der er på sql serveren (hvis du bruger sådan en) - i access er der ikke problemer i den retning.

svar :)

=)

Så længe du holder dig til at bruger datasourcens parametre objekter og ikke gør noget fjollet som f.eks.
SqlDatasource1.SelectCommand = "SELECT * FROM Table WHERE id = " + Textbox1.Text;
Så er de 100% sikre

Dejligt at hører - takker