Usamos cookies para medir audiência e melhorar sua experiência. Você pode aceitar ou recusar a qualquer momento. Veja sobre o iMasters.
Boa tarde pessoal.
Estou passando 3 formas de diminuir os ataques de SQL injection no meu site.
Ao meu ver essas formas abaixo já garantem que boa parte dos ataques não atingirão seus objetivos.
Mas gostaria de mais sugestões para abranger mais as possíveis formas de ataques.
1 - tratamento de querystring
Parâmetro tipo INT:
NomeParâmetro = CLng(Request("NomeParâmetro "))
Parâmetro tipo STRING:
strUserName = Replace(Request.Form("txtUsername"), "'", "''")
strPassword = Replace(Request.Form("txtPassword"), "'", "''")
2 - Função limpa SQL
Function LimpaSQL(texto)
If not IsNull(texto) Then
'texto = Replace(texto, "-", "")
texto = Replace(texto, "'", "")
'texto = Replace(texto, "<", "")
'texto = Replace(texto, ">", "")
'texto = Replace(texto, "\", "")
'texto = Replace(texto, "/", "")
'texto = Replace(texto, ";", "")
'texto = Replace(texto, "(", "")
'texto = Replace(texto, ")", "")
'texto = Replace(texto, "?", "")
texto = Replace(texto, "*", "")
'texto = Replace(texto, "&", "")
texto = Replace(texto, "#", "")
texto = Replace(texto, "§", "")
texto = Replace(texto, "³", "")
texto = Replace(texto, "select", "")
texto = Replace(texto, "update", "")
texto = Replace(texto, "drop", "")
texto = Replace(texto, "script", "")
texto = Replace(texto, "©", "")
Else
texto = ""
End If
LimpaSQL = texto3 - Grants de usuários
Esse tratamento visa filtrar os grants de usuarios externos e internos. Selecionando qual tabela deve receber permissão de select, update e insert para cada usuário.
Agradeço as sugestões.
Abraços.
Carregando comentários...