Cuidados com a queryString

[Filipe_Moraes 15]

Ola pessoal, hoje a tarde um colega descobriu um erro no meu site, qd coloca a aspa simples " ' " na variavel da querystring (iduser), da esse erro:

 

Microsoft OLE DB Provider for ODBC Drivers error '80040e14' [Microsoft][Controlador Microsoft Access de ODBC] Erro de sintaxe (operador em falta) na expressão de consulta 'iduser=' AND tipo='externo''. /2004/index.asp, line 26

Acontece que eu sei tratar esse tipo de erro, mas como ele poderia atacar o site atraves disso?? Sei injeção SQL, mas não muito, como tenho muitas querystring sem tratar, seria um grande trabalho, so quero saber como ele atacaria o site atraves disso...

 

Obrigado...

[explore 3]

simplesmente ele pode obter informações do nome da tabela ou de campos que existem na sua base!uma boa opção é você usar Procedures e trattar no asp tb!

[Filipe_Moraes 15]

Mas como ele obteria esses dados??

[AspAL 0]

Mas como ele obteria esses dados??

bixo na verdade o máximo que ele poderia fazer é saber onde há o erro no select da tabela... e qnd houver esse erro, o browser mostrar onde é o erro no código.. daí o bestão lá vai saber qual a linha e qual a página que está gerando esse erro... sei lá, mas acho q n pode fazer mais nada nflw

[jrcardozo 4]

com sql injection o cara pode destruir sua base de dados com meia duzia de caracteres.Existem comandos que quando executados mostram o nome da tabela, campos, etc. Sabendo isso o camarada faz um outro comando sql para destruir a tabela, por exemplo delete, drop table etc