Como impedir que alguém grave dados no seu bd pela página de um form

[ZioNN 0]

Galera,

 

Não sei bem explicar, mas ACREDITO que o que acontece é que algum desocupado criou um script que fica enviando, via post, para a página de gravação de dados de um formulário de cadastro, informações aleatórias, que estão enchendo o banco de dados de lixo.

 

Qual a melhor forma de prevenir isso? Tem um jeito de eu saber que os dados estão vindo realmente da página do site, e não de um formulário externo?

Como bloquear esse infeliz?

 

Eu acabei de implementar uma solução rápida na qual estou usando a variável HTTP_REFERER do ASP para ver se a página anterior é a do formulário, mas não tenho certeza de que só isso já resolve definitivamente o problema.

 

Obrigado

[Silvafabiano 0]

Opa

 

A principio acho que o que está fazendo resolve. Solucao do xanburzum

 

IF Request.ServerVariables("HTTP_REFERER") <> Request.ServerVariables("SERVER_NAME")
and Request.ServerVariables("HTTP_REFERER") = "" THEN

Abraços

[xanburzum 169]

lembre-se Tb do SQL Inject

 

'****************************************************************************
*****
'******** SQL Injection Filter ***************************************************
'****************************************************************************
*****

Function SafeSQL(sInput)
  TempString = sInput
  'sBadChars=array("select", "drop", ";", "--", "insert", "delete", "xp_", "#", "%", "&", "'", "(", ")", "/", "\", ":", ";", "<", ">", "=", "[", "]", "?", "`", "|") 
  sBadChars=array("select", "drop", ";", "--", "insert", "delete", "xp_", "#", "%", "&", "'", "(", ")", ":", ";", "<", ">", "=", "[", "]", "?", "`", "|") 
  For iCounter = 0 to uBound(sBadChars)
	TempString = replace(TempString,sBadChars(iCounter),"")
  Next
  SafeSQL = TempString
End function

[hargon 64]

Você pode utilizar também imagem de segurança. Aqui no laboratório de scripts tem alguns exemplos.

[marcelocardoso 6]

Pessoal!

 

Este código abaixo me alertou, mas onde posso usá-lo???

em paginação, em logins, em formulários, poderiam me dizer ao certo?????

 

Não desenvolvo sites ainda, estou aprendendo bastante com o pessoal do fórum, mas tenho lido bastante de SQL injections e gostaria de me inteirar ainda mais. Certo!

[hargon 64]

Qual código abaixo?

 

Essa prevenção de SQL Injection deve ser feita em qualquer área do site onde você recebe dados via Request.

[ZioNN 0]

Você pode utilizar também imagem de segurança. Aqui no laboratório de scripts tem alguns exemplos.

Obrigado, dei uma olhada lá. Tem coisas bem interessantes.

[ZioNN 0]

Opa

 

A principio acho que o que está fazendo resolve. Solucao do xanburzum

 

IF Request.ServerVariables("HTTP_REFERER") <> Request.ServerVariables("SERVER_NAME")
and Request.ServerVariables("HTTP_REFERER") = "" THEN

Abraços

Obrigado!

 

lembre-se Tb do SQL Inject

Valeu! Já estava usando uma função similar.

[~Thiago Lara 0]

Opa

 

A principio acho que o que está fazendo resolve. Solucao do xanburzum

 

IF Request.ServerVariables("HTTP_REFERER") <> Request.ServerVariables("SERVER_NAME")
and Request.ServerVariables("HTTP_REFERER") = "" THEN

Abraços

 

Tem certeza de que funciona? eu andei fazendo alguns testes e não funcionou ! :rolleyes:

[Silvafabiano 0]

Opa

 

A principio acho que o que está fazendo resolve. Solucao do xanburzum

 

IF Request.ServerVariables("HTTP_REFERER") <> Request.ServerVariables("SERVER_NAME")
and Request.ServerVariables("HTTP_REFERER") = "" THEN

Abraços

 

Tem certeza de que funciona? eu andei fazendo alguns testes e não funcionou ! :rolleyes:

 

 

isso aí na verdade é para bloquear. O if na verdade é se nao for da sua página ou vier em branco entao você redireciona para uma página de erro.

 

Abraços