protejer querystring

[lote14 0]

Fala pessoal, beleza?

 

Gostaria de uns esclarecimentos,situação hipotética:

 

Tenho uma página onde recebo por parametro uma variável através da url.

 

codigo=Request.QueryString("codigo")

 

que é usada em uma instruçao SQL.

 

Select * from tabela where codigo=codigo

 

Bom em relação a SQLINJECTION posso fazer um função com replace substituindo caracteres tipo (',;,#,etc...) beleza, até ai tudo bem.

 

Agora e se um usuário lá na url digitar um valor que não existe no banco, tipo:

 

www.site.com.br/pagina.asp?codigo=rtrtrtrt

 

vai dar erro no banco, pois este valor não vai ser encontrado na tabela além de ser outro tipo de dado (varchar).

 

Posso também tratar todas as sql (On error Resume Next ).

 

Geralmente qual é melhor solução para resolver isso?

[xanburzum 169]

olha este link

[lote14 0]

Acho que o melhor é tratar todas as Query do banco com On error Resume Next, ok?

[retrolink 0]

Esse lance oferecido pelo xamburzum de tratar query via rewrite não tem nada de proteção preventiva, de nada adianta... não ira proteger, já que a url sem rewrite continuara desprotegida.

 

Geralmente query via code para bd são numéricas, com isso basta montar uma function que só aceite dados numéricos, caso não seja ela exibe um alerta ou redireciona o user para outra página mostrando que não foi possível acessar determinada página.

 

Existem outros anti-injection, mais a melhor prevenção é aceitar dados numéricos apenas, assim não seria possível de forma alguma invadir via sql injection.

[xanburzum 169]

com certeza você consegue proteger e esconder dados via isapi

existem um tópico que criei que dá algumas dicas de proteção e performance, faça uma busca vai te ajudar

[retrolink 0]

Xamburzum, não é possível proteger o site apenas por rewrite, isso porque o rewrite deixa a página mais amigável, porém é apenas uma roupa... sendo que a página real sempre terá que existir... exemplo...

 

com rewrite: http://site.com/noticia/1/forum-imasters

sem rewrite: http://site.com/noticias.asp?n=1

 

o rewrite será capaz apenas de proteger a url amigável... a url verdadeira não será protegida via rewrite.

 

Portanto... essa forma de proteção via rewrite não é nem de longe a mais aconselhável para se fazer, isso porque a falha e grave existira se o usuário conhecer ou achar a url verdadeira.

 

O mais aconselhável nesse caso seria proteção pelo code... pois independente de como ou daonde viesse sempre teria que passar pela proteção.

[xanburzum 169]

a proteção, por assim dizer no ISAPI é você esconder dados , para que nao fique visivel pela url (amigável)

[retrolink 0]

Sim velho... mais sempre ira "esconder" por rewrite.... mas a página verdadeira sempre existira... se o usuário conhecer ou achar já era de nada adiantou, portanto essa forma é a menos aconselhável, é claro que pode ser feita, mais apenas por complemento, sendo que ela por si só não protegera, o correto novamente repito... é via code.

[xanburzum 169]

o que eu aconselho é usar o máximo de recursos, aliando técnicas de programação sadia, componentes, etc

pois não existe nada 100 % seguro, hoje pode ser seguro, amanhã, já não é mais.