- Home
- Categorie
- Gli Off Topic
- Tutti i Software
- sql injection e caratteri ASP
-
sql injection e caratteri ASP
Ho riscontrato su alcuni siti la falla relativa a sql injection
esiste uno script che elimini tutti i caratteri pericolosi?
grazie a tutti
-
Non c'e' nulla da eliminare ...
Non mi intendo di ASP ...pero' so che per risolvere in parte questi problemi, si usa il raddoppio dell'apice ' quindi diventa '' ...un double quotes, ma con gli apici.
Per il resto, occhio alle query e alle variabili...
-
in che senso oggio alle query?
se elimino gli apici(cioè il semplice replace risolvo tutto?)
-
non devi eliminare gli apici, ma semplicemente aggiungerne uno a quello che c'e' gia......
E' un buon inizio...
Occhio alle query , nel senso a come le fai, modifica i messaggi di errore in modo da non far scoprire a un probabile lamer le tabelle e colonne del database...in questo modo non dai la possibilita' di dare inizio a una possibile blind sql injection....non sapendo le tabelle non sa da dove partire
-
@Cryogenic said:
non devi eliminare gli apici, ma semplicemente aggiungerne uno a quello che c'e' gia......
E' un buon inizio...
Occhio alle query , nel senso a come le fai, modifica i messaggi di errore in modo da non far scoprire a un probabile lamer le tabelle e colonne del database...in questo modo non dai la possibilita' di dare inizio a una possibile blind sql injection....non sapendo le tabelle non sa da dove partire
Si ma io volevo eliminare alcuni caratteri jolly perchè a quanto ho letto possono entrare nei siti anche in quel modo