SQL ‎Injection

[TamirDotNet]

SQL ‎Injection

שלום, אני מנסה לבדוק איך מוחקים טבלה דרך טופס רישום. ניסיתי להכניס פקודות מחיקה לטבלה דרך הטופס אבל ראיתי שלא נמחק כלום.אשמח אם יהיה ניתן לקבל הסבר, מה מכניסים, ואיך משבשים DB‏ ‏ע``י טופס שלא מוגן ע``י SQL ‎Injection.‏ ‏תודה ‏רבה‏!‏

 

[א ו ר ח ת]

אבטחת מידע- לא איך לפרוץ, אלה איך להגן

אני לא אלמד אותך פה איך לפרוץ אבל אני אלמד אותך איך להגן. 1. להשתדל לא להאפשר הכנסת מחרוזות, ואם צריך אז..(כמו סיסמא) 2. לבדוק תקינות הקלט, לא לאפשר לכתוב גרש, מקף, סוגרים משולשים או לחלופין להפוך כל סימן לקידוד HTML ולא כטקסט רגיל. 3. לבדוק קלט גם בשרת וגם בלקוח. 4. להשתדל לעבוד דרך SP . בהצלחה!

 

[TamirDotNet]

תודה

תודה על תגובתך. אין לי עניין לפרוץ ולהזיק. סיימתי ללמוד פיתוח דוט נט, ועניין אותי הנושא. ניסיתי ליישם בטופס שבניתי אך לא הצלחתי להזיק לטבלה שלי. בכדי להבין את הנושא, קיוויתי לראות את הנזק ואז לדעת איך להגן. אני עובד ב sp‏ ‏וכמובן עושה ולידציה. מה כוונתך להפוך לקידוד html‎?‎ בתודה.

 

[חובב טניס]

לפני כ5 שנים

כתבתי יחד עם מתכנתת נוספת מצגת בנושא של SQL injection לפורום של משתמשי SQL Server (דרך אגב מדובר על פורום מעולה, שנפגש פעם בחודש עם הרצאות מאד טובות בנושאי SQL Server וOLAP. אני פוגש שם את גרי לרוב, ואני יכול רק להמליץ לשאר הפורום כאן להגיע למפגשים האלו). המצגת די בסיסית ומראה שימוש ב2 טכניקות. אתה יכול לנסות להוריד אותה מhttp://www.sql.co.il/ug/32/32nd.htm . המצגת נותנת דוגמאות, הסברים על ההגנה והסברים על המיתוסים, שקיימים בנושא.

 

[TamirDotNet]

מצגת מצויינת.תודה על עזרתך