SQL injection

I dette tilfælde skal du sikre dig, at id udelukkende består af tegnene [0-9], inden du bruger det i din database.

select * from tabel where id=x

Hvis du tillader alle værdier af x, så kan brugeren jo selv digte videre på din sqlsætning.


Læsestof: google + sql injection

Alle steder, hvor du byggger en sqlsætning med input udefra, skal du kontrollere/uskadeliggøre data inden du gør brug af det.

hansepeter2, tak for dit svar :-)

Kunne godt tænke mig, at nogle kom med et noget mere detalteret svar - har nemlig søgt i google, men svært at overskue de forskellige forslag ;-)

Generelt: brug parameters !

http://www.eksperten.dk/guide/1250

arne_v, tak for svar :-) Har lige læst guiden, som virker noget svær ud fra min kunnen ;-) Har selv undersøgt nærmere - kan det løses ved blot at sikre mod pling, altså på en aller anden måde replace Id, ala "Replace(Request.Form("txtusername"),"'","''")"?

Jeg hjælper dig gerne videre, hvis min guide ikke er klar nok (det kunne jo være den skulle opdateres :-))...

Jeg er kommet videre og er blevet anbefalet løsningen på http://blogs.iis.net/nazim/archive/2008/04/28/filtering-sql-injection-from-classic-asp.aspx.

Jeg har endvidere tilføjet ' til kildekoden, og umiddelbart virket det rigtig godt. Hvis jeg f.eks. prøver at tilføje ' i en url, kommer der ikke:

[MySQL][ODBC 5.1 Driver][mysqld-5.1.41-3ubuntu12.10]You have an .....

men i stedet en fejlmeddelelse.

Hvad er jeres vurdering af denne metode? Er der noget, som den ikke tager højde for? Mit problem er, at jeg har rigtig mange sider, som er i "farezonen", så det vil være kanon blot at kunne includere en fil - i hvert fald som "brandslukning" i første omgang ;-)

Umiddelbart ville jeg foretrække at benytte parameteriseringen, da du så undgår alle andre problemer. Hvis du vælger at lave white- eller blacklisting risikerer du at du stadig efterlader et hul (selvom det sandsynligvis vil være mindre end før), fordi du ikke har gennemskuet alle de måder man kan snyde systemet på...

Nu er det i sagens natur svært at forholde sig til opgavens omfang, så det er naturligvis en afvejning ifht. cost/benefit, men jeg vil tro kunderne foretrækker den sikre løsning frem for en mindre usikker løsning ;-)

En anden ting er naturligvis hvor godt den driver du benytter understøtter Command-objektet, men det kan du jo teste dig ud af. Jeg har ikke selv erfaring med at køre med Command-objekter op mod en MySQL, så der kan jeg desværre hjælpe med råd og vejledning...

Tusind tak for jeres svar, som jeg klart kan bruge i problemløsningen. Smid alle et svar og pointene fordeles ;-)

Velbekomme.

Ups! Nu med svar ;-)

hansepeter2 og arne_v, vil I ikke have del i pointene? Smid et svar ;-)