Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

hostrl

login sql injection

Por , em ASP Clássico

Recommended Posts

hostrl    0

hostrl
Postado

Pessoal estou fazendo um sistema de login beleza;

mais lendo algumas coisas vi que é possivel invadir ele usando sql injection, queria saber de alguma maneira legal do asp num exibir aqueles erros e mostrar meu banco a tabela quando se coloca aspa por exemplo..

se alguem poder me ajudar?

vlw

Compartilhar este post

Link para o post
Compartilhar em outros sites

eibon    2

eibon
Postado

Caro,

Não sei sobre asp,mas em php,pode ser feito de diversas maneiras.

-Checagem usando expressoes regulares.

-Escapar caracteres (addslashes,dentre outras).

-Checagem usando outros métodos/funções.

 

Barrando ou escapando o caracter ' já fica relativamente beleza!

Abraço!

Compartilhar este post

Link para o post
Compartilhar em outros sites

Ted k'    126

Ted k'
Postado

mostrar os erros é On Error Resume Next, pesquise sobre isso e sobre o SQL, faça replaces nos campos substituindo as aspas simples, as instruções, pesquise no fórum sobre isso!

Compartilhar este post

Link para o post
Compartilhar em outros sites

hostrl    0

hostrl
Postado

sim no php pode ser usada a addslashes htmlentites mysql_space_string tem váris ja inclusa no php como sou novo em asp numsei n se alguem poder me ajudar

 

vlw

Compartilhar este post

Link para o post
Compartilhar em outros sites

eibon    2

eibon
Postado

Da uma lida sobre expressões regulares em asp,ai atraves delas você faz a checagem.

Tentando te ajudar,procurei sobre e me deparei com isto:

Link

Creio que vá te ajudar!

Abraço!

 

Ps:Usar uma expressão regular do tipo: "[a-zA-Z-9.@_]" (em PHP e outras linguagens pelo menos,é assim[sem as aspas]).Onde .@_ são os simbolos permitidos!

Compartilhar este post

Link para o post
Compartilhar em outros sites

eibon    2

eibon
Postado

A host...

No asp,deve ter mysql_real_escape_string ($var);

Desculpem pelo comentário,mas creio que possa ajudar.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Salgado    4

Salgado
Postado
A host...

No asp,deve ter mysql_real_escape_string ($var);

Desculpem pelo comentário,mas creio que possa ajudar.

No ASP não existe função nativa para bloquear SQLInjection. Depende do programador fazê-la.

Compartilhar este post

Link para o post
Compartilhar em outros sites

eibon    2

eibon
Postado

Salgado,

É possivel em asp checar os diferentes caracteres de uma string?

LOOP(de i igual a 0 até pos final de str) +

java:

 

varStr.charAt(pos);

php (se var str não for um array):

$varStr[pos]
Se for,crie uma função que cheque se cada caracter de sua string é valido.Sua aplicação deverá depender do retorno de tal função.

java:

int len = varStr.lenght();
for(int i=0;i<=len;i++){
if(varStr.charAt(i) == "caracter proibido") {
 //faz algo 
}
php:

for($i=0;$i<=strlen($varStr);$i++){ 
if($varStr[$i] == 'caracter proibido'){ 
//faz algo
}
}
Use como base depurando (claro,se for possivel).

Abraço!

Compartilhar este post

Link para o post
Compartilhar em outros sites

Salgado    4

Salgado
Postado

Para bloquear SQLInjection o básico é validar os campos do FORM com do seu banco de dados. Se no BD for numérico verifique se recebeu apenas números, se é do tipo data verifique se recebeu uma data, se é texto substitua as aspas simples por duas aspas simples.

 

Sim é possível varrer cada caractere de uma string e também existe funções nativas para verificar se uma determinada string existe dentro de outra, bem como também é possível o uso de Expressões regulares.

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos ASP Clássico
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito