Sql Injection

Ikke helt med på hvad du mener, men det er ikke sådan at der er en kommando du kan affyre også få at vide hvilke huller der er på siden. (Det er der måske hacker værktøjer der kan)

Vil du sikre din side, er der kun EN vej. Test, test og mere test. Eller sagt på en anden måde: "Afprøve de forskellige metoder indtil de alle er fejlet".

Om din kode er saarbar overfor SQL injection er normalt ret nemt at se ved inspektion af koden.

Altså det kunne godt være der kom en fejl meddelelse frem hvis der var en fejl altså såsom Warning error in line 1 eller noget i den stil...

Når du siger at teste, mener du så at, f.eks:

postcomment.asp?username=Blaah&comment=blaah(Og så mit SQL angreb her) eller?

Jeg kender kun en database som kan saettes til at give fejl ved SQL saetninger som er saarbare overfor SQL injection og det er H2 databasen.

Okay tak til jer begge 2, det opklarede mit "mysterie" eller hvad man nu skal kalde det..
I er velkommen til at ligge et svar :D

Lige et spørgsmål til - Hvis man nu finder et "hul" kan alt så trænge igennem - Altså Create database,update,select, og hvad der nu er?
Altså hvis der først er et exploit, kan man så alt der nu ligger i ens Database?

2 gode råd til at modvirke/minimere SQL injections.

1.  Brug prepared statements, og ikke noget med at sætte SQL udtryk sammen vha. variable.
2.  Brug altid en database-bruger til applikationen, som har så få rettigheder som muligt. Aldrig en der har adgang til at oprette/slette databaser eller tabeller (medmindre din applikation har brug for det).
Og hvis man har en applikation der ikke opdaterer i databasen, bør brugeren heller ikke have adgang til det.

hehe, jeg kom lige til at tænke på denne:

http://xkcd.com/327/

Haha. Ja den har jeg også set :D

I de fleste tilfaelde vil et SQL injection hul tillade at enhver form for SQL saetninger bliver koert. D.v.s. at begraensningen ligger i hvad brugernavnet har lov til i databasen. Derfor restriktion paa hvad brugernavn har adgang til.

Og som sagt er det nemmeste nok at bruge code inspection til at finde fejlene. En test vil ikke kunne proeve alle muligheder - der er simpelthen for mange kombinationer.

og et svar fra mig

Skuller de point ikke have vaeret delt ?

Emm -.-

Ved ikke hvordan man gør det.