Szukam, aby moja strona była bezpieczna przeciwko atakom SQL injection. Czy ktokolwiek ma dobre linki do ochrony witryny przed tego typu atakami w witrynie ASP.NET (C#, formularzach internetowych)?Zapobieganie atakom SQL Injection: od czego zacząć
EDIT:
miałbym wskazać na Używam pierwszy i najlepszy wiersz Entity Framework
obrony jest, aby nie używać dynamic SQL. Zawsze należy używać parameterized queries.
Spójrz na OWASP page about SQL Injection.
Jest to świetna seria, która obejmuje 10 głównych zagrożeń bezpieczeństwa dla aplikacji internetowych i jak łagodzić ich środowisku ASP.NET: http://www.troyhunt.com/2010/05/owasp-top-10-for-net-developers-part-1.html
Zobacz te zasoby:
Zasadniczo, jak Oded już wspomniano, to sprowadza się do zatrzymania złączenie razem swoje SQL - zwłaszcza jeśli wiąże się dane wprowadzone przez użytkownika do pól tekstowych - i użyj sparametryzowanych kwerend w ADO.NET.
Sprawdźcie tutaj:
Wpisz przechowywane procedury z parametrami i uniknąć inline SQL w miarę możliwości ...
To proste. Większość wtryskiwanych wulgaryzmów pochodzi z kodu wyglądającego tak:
var myQuery="SELECT something FROM somewhere WHERE somefield="+userSuppliedData;
//execute myQuery against db
//now suppose userSuppliedData=="'';DROP TABLE somewhere;"
Jeśli mówisz ręcznie w ten sposób, jesteś narażony na ryzyko. Rozważ użycie ORM lub sparametryzowanych zapytań.
Mam tendencję do link do ebook z nich. Ale tylko jedna z luk to SQL Injection, o którą pytał OP. – Oded
Dobra uwaga - Dodano -> http://www.troyhunt.com/2011/12/free-ebook-owasp-top-10-for-net.html –