Informação recolhida com o erro 500

[saloeric 1]

boa tarde, num site tenho configurado que para quando ocorra um erro, seja executada uma página onde me envia um email com o erro, tenho recebido uns erros estranhos, seguem alguns,

 

ASPCode =

ASPDescription =

Category = Microsoft OLE DB Provider for ODBC Drivers

Column = -1

Description = [MySQL][ODBC 5.1 Driver][mysqld-5.0.45-community-nt]You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''/**/aND/**/'8'='8' at line 1

File = /topo.asp

Line = 15

Number = -2147217900

Source =

 

----------------------------------------------------------------------

 

ASPCode =

ASPDescription =

Category = Microsoft OLE DB Provider for ODBC Drivers

Column = -1

Description = [MySQL][ODBC 5.1 Driver][mysqld-5.0.45-community-nt]You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' aND '8'='8' at line 1

File = /topo.asp

Line = 15

Number = -2147217900

Source =

----------------------------------------------------------------------

ASPCode =

ASPDescription =

Category = Microsoft OLE DB Provider for ODBC Drivers

Column = -1

Description = [MySQL][ODBC 5.1 Driver][mysqld-5.0.45-community-nt]You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''/**/XoR/**/'8'='8' at line 1

File = /topo.asp

Line = 15

Number = -2147217900

Source =

----------------------------------------------------------------------

 

e uns outros parecidos, eu desconfio de tentativa de sql injection, mas acho estranho que é sempre no mesmo minuto practicamente, será algum bot?

[Vinicius Ianni 189]

Pode ser, seu site tem algum script para proteção contra sql injection ?

Caso não tenha, no laboratorio de scripts tem alguns muito bons, dá uma verificada lá.

[saloeric 1]

tenho apenas para tratamentos de pelica(') e aspas(")

[Vinicius Ianni 189]

Este é o que uso, peguei no laboratório de scripts:

 

<%function sqlInjection()

'Palavras que serão barradas caso encontradas nos request

palavrasDoMal = array("insert", "drop", " or ", "update", "cast")

' Verificando o que é passado pelo request.queryString

for each item in request.QueryString

for j = lbound(palavrasDoMal) to ubound(palavrasDoMal)

if instr(lcase(Request.QueryString(item)), lcase(palavrasDoMal(j))) > 0 then

response.Redirect("erro.asp?d=injectionQueryString")

end if

next

next

'Verificando o que é enviado por request.form

for each item in request.form

for j = lbound(palavrasDoMal) to ubound(palavrasDoMal)

if instr(lcase(Request.form(item)), lcase(palavrasDoMal(j))) > 0 then

response.Redirect("erro.asp?d=injectionForm")

end if

next

next

' Verifica o que está sendo passado via cookies

for each item in request.Cookies

for j = lbound(palavrasDoMal) to ubound(palavrasDoMal)

if instr(lcase(Request.Cookies(item)), lcase(palavrasDoMal(j))) > 0 then

response.Redirect("erro.asp?d=injectionCookies")

end if

next

next

end function

'Aqui chamamos a função

sqlInjection()%>

[saloeric 1]

olá, eu já tinha visto alguns scripts no laboratório mas não quero estar a impedir as pessoas de por exemplo terem "or" ou "update" numa frase, utilizo apenas a das pelicas, até hoje não me tem deixado mal , eu realmente acho estranho virem aquele tipo de caracteres no log de erros, sendo todos no mesmo minuto praticamente..., valeu pela ajuda