Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

rogerio.prince

[Resolvido] Segurança no asp

Recommended Posts

Pessoal

 

Eu estou com duvidas com relação a segurança principalmente SQL injection.

 

Meu site tem uma area de administracao onde os usuarios entram com usuario e senha, na pagian que verifica

usuario e senha usei uma função para verificar a string passada como tambem faço a autenticacao atraves de procedure no sql.

 

Minha duvida é:

 

O um usuario do meu sistema que tem acesso a area de administracao tiver mau intensionado ele pode atacar la de dentro porque ele ta vendo no navegador as urls das paginas de administracao certo?

 

1) Eu tenho que tratar todas as strings passadas as paginas que acessam o banco de dados?

 

2} Esse tratamento caso necessario afeta muito o desempenho?

 

3) Essa função esta boa mesmo?

function LimparTexto(str)
str = trim(str)
str = lcase(str)
str = replace(str,"=","")
str = replace(str,"'","")
str = replace(str,"""""","")
str = replace(str," or ","")
str = replace(str," and ","")
str = replace(str,"(","")
str = replace(str,")","")
str = replace(str,"<","[")
str = replace(str,">","]")
str = replace(str,"update","")
str = replace(str,"-shutdown","")
str = replace(str,"--","")
str = replace(str,"'","")
str = replace(str,"#","")
str = replace(str,"$","")
str = replace(str,"%","")
str = replace(str,"¨","")
str = replace(str,"&","")
str = replace(str,"'or'1'='1'","")
str = replace(str,"--","")
str = replace(str,"insert","")
str = replace(str,"drop","")
str = replace(str,"delet","")
str = replace(str,"xp_","")
str = replace(str,"select","")
str = replace(str,"*","")
LimparTexto = str
end function
Obrigado pela atenção

Compartilhar este post


Link para o post
Compartilhar em outros sites

Esta função já ajuda muito... e o ideal é tratar em todas as SQLs e acho que só isso não compromete o desempenho não, pode afetar de acordo com outros fatores e o restante da prog...

No caso do login, faz o tratamento apenas uma vez na hora de logar, depois guarda o acesso em "Session" e vai verificando em cada página se a Session está ativa...

 

Att.

Compartilhar este post


Link para o post
Compartilhar em outros sites

sempre uso esta, muito boa

 

Function SafeSQL(sInput)
  TempString = sInput
  'sBadChars=array("select", "drop", ";", "--", "insert", "delete", "xp_", "#", "%", "&", "'", "(", ")", "/", "\", ":", ";", "<", ">", "=", "[", "]", "?", "`", "|") 
  sBadChars=array("select", "drop", ";", "--", "insert", "delete", "xp_", "#", "%", "&", "'", "(", ")", ":", ";", "<", ">", "=", "[", "]", "?", "`", "|") 
  For iCounter = 0 to uBound(sBadChars)
    TempString = replace(TempString,sBadChars(iCounter),"")
  Next
  SafeSQL = TempString
End function

Compartilhar este post


Link para o post
Compartilhar em outros sites

valeu pelas dicas

 

sempre uso esta, muito boa

 

Function SafeSQL(sInput)
  TempString = sInput
  'sBadChars=array("select", "drop", ";", "--", "insert", "delete", "xp_", "#", "%", "&", "'", "(", ")", "/", "\", ":", ";", "<", ">", "=", "[", "]", "?", "`", "|") 
  sBadChars=array("select", "drop", ";", "--", "insert", "delete", "xp_", "#", "%", "&", "'", "(", ")", ":", ";", "<", ">", "=", "[", "]", "?", "`", "|") 
  For iCounter = 0 to uBound(sBadChars)
    TempString = replace(TempString,sBadChars(iCounter),"")
  Next
  SafeSQL = TempString
End function

Compartilhar este post


Link para o post
Compartilhar em outros sites

opa, beleza....

Compartilhar este post


Link para o post
Compartilhar em outros sites

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.