Niedawno odziedziczyłem klasyczną stronę asp z toną wbudowanych instrukcji SQL, które są podatne na ataki SQL injection.Klasyczne wtryskiwanie ASP SQL
Te instrukcje wstawiania są wykonywane za pomocą obiektu polecenia ADO.
Czy ustawienie właściwości przygotowanej obiektu polecenia ADO na wartość true zapewni, że zapytanie zostanie sparametryzowane przed wykonaniem, zmniejszając w ten sposób ryzyko wstrzyknięcia SQL?
Ten link powinien okazać się przydatny.
Nie, jeśli zbudujesz ciąg SQL z wartościami, które otrzymujesz bezpośrednio z "na zewnątrz", to "przygotowana instrukcja" nie pomoże.
w
sSQL = "SELECT * from mytable where mycolumn = '" + querystring("value") + "'"
wciąż kłopoty. Jedynym sposobem rozwiązania tego problemu jest użycie parametrów w zapytaniu.
Co proponuję zrobić, to napisać funkcję do dezynfekcji wejście użytkownika, a następnie uruchomić wszystkie zmienne żądania za to. Kiedy pisałem moje Zrobiłem rzeczy jak:
SQL injection Większość byłoby spróbować czegoś podobnego ' or 1=1 or a=' więc kod SQL będzie:
SELECT * from mytable where mycolumn = '' or 1=1 or a=''
Więc uchodzące pojedyncze cudzysłowy jest prawdziwy wielki trzeba się martwić.
Wiele osób wpada w tę pułapkę. Tworzenie funkcji sprawia, że kod jest mniej czytelny i nie jest w przyszłości dowodem. Nie mam możliwości śledzenia wszystkich klasycznych witryn ASP, które zbudowałem lata temu, nie wspominając już o aktualizacji funkcji, której mogą używać lub nie. Parametry ADO lub procedury składowane z parametrami są do zrobienia. –
i zgadzam się, że parametry są najlepszą praktyką, ale jeśli próbujesz szybko wyczyścić cały pakiet, to zawijanie wszystkich danych wejściowych użytkownika w funkcji jest łatwiejsze. –
Nie wydaje mi się, że potrzeba czasu na dodanie paczki oCmd.Parameters .Append oCmd.CreateParameter (...) 'do kodu, i szczerze mówiąc w takich sytuacjach myślę, że lepiej jest skupić się na jakości niż prędkości, szczególnie jeśli nie masz czasu, aby wykonać pracę dwukrotnie. –
Można również spojrzeć na projekt typu asp classic o otwartym kodzie źródłowym o nazwie "Owash stinger". Pomaga to nie tylko przy wtrysku Sql, ale w injenie nagłówka i wielu innych problemach związanych z bezpieczeństwem, które są wspólne dla wszystkich aplikacji internetowych.
+1 za owasp :) – gmaran23
Oto kolejny dobry związek i przykładem.
http://blogs.iis.net/nazim/archive/2008/04/28/filtering-sql-injection-from-classic-asp.aspx
W przeszłości właśnie utworzony kilka funkcji do obsługi wszelkiego poza wejście dla SQL injection oraz XSS. Następnie powoli konwertowaliśmy wszystkie wbudowane SQL do procedur składowanych.
prawdopodobny duplikat [klasycznego ASP SQL Injection Protection] (http://stackoverflow.com/questions/149848/classic-asp-sql-injection-protection) – NotMe