Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

Gilberto Jr

[Resolvido] SqlInjection

Por , em ASP Clássico

Recommended Posts

Gilberto Jr    26

Gilberto Jr
Postado

Pessoal, é uma duvida simples e besta;

 

Pesquisando aqui eu achei no lab. de script este artigo, sqlinjection. Minha duvida é, eu faço o include nas paginas que esta com o formulário ou nas paginas que recupero as informacoes do formulario para inserir no banco de dados.

 

Valeu.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Marrabel    20

Marrabel
Postado

Pessoal, é uma duvida simples e besta;

 

Pesquisando aqui eu achei no lab. de script este artigo, sqlinjection. Minha duvida é, eu faço o include nas paginas que esta com o formulário ou nas paginas que recupero as informacoes do formulario para inserir no banco de dados.

 

Valeu.

Sou leigo ainda em ASP, mas creio que seja nas paginas onde você recupera as informações, pois é nela que é validado o que foi digitado no formulário.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Vinicius Ianni    189

Vinicius Ianni
Postado

É ao recuperar as informações que os possiveis comandos maliciosos e não tratados serão executados.

Se colocar o script para evitar o sql injection no formulário, ele não tera efeito nenhum pois as informações ainda não foram enviadas para o servidor.

Compartilhar este post

Link para o post
Compartilhar em outros sites

xanburzum    169

xanburzum
Postado

sempre uso essa função para SQLInject, independente das informações serem oriundas do formulário, banco de dados etc, você pode analisadas e tratadas

 

Function SafeSQL(sInput)
 TempString = sInput
 'sBadChars=array("select", "drop", ";", "--", "insert", "delete", "xp_", "#", "%", "&", "'", "(", ")", "/", "\", ":", ";", "<", ">", "=", "[", "]", "?", "`", "|") 
 sBadChars=array("select", "drop", ";", "--", "insert", "delete", "xp_", "#", "%", "&", "'", "(", ")", ":", ";", "<", ">", "=", "[", "]", "?", "`", "|") 
 For iCounter = 0 to uBound(sBadChars)
   TempString = replace(TempString,sBadChars(iCounter),"")
 Next
 SafeSQL = TempString
End function

Compartilhar este post

Link para o post
Compartilhar em outros sites

Gilberto Jr    26

Gilberto Jr
Postado

sempre uso essa função para SQLInject, independente das informações serem oriundas do formulário, banco de dados etc, você pode analisadas e tratadas

 

Function SafeSQL(sInput)
 TempString = sInput
 'sBadChars=array("select", "drop", ";", "--", "insert", "delete", "xp_", "#", "%", "&", "'", "(", ")", "/", "\", ":", ";", "<", ">", "=", "[", "]", "?", "`", "|") 
 sBadChars=array("select", "drop", ";", "--", "insert", "delete", "xp_", "#", "%", "&", "'", "(", ")", ":", ";", "<", ">", "=", "[", "]", "?", "`", "|") 
 For iCounter = 0 to uBound(sBadChars)
   TempString = replace(TempString,sBadChars(iCounter),"")
 Next
 SafeSQL = TempString
End function

Olá Xan, esta funcao pode ser usada da forma que o rapaz passou no lab de script, como um arquivo externo e ser chamado atraves de um include?

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos ASP Clássico
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito