مقابله با حملات sql injection [بایگانی]

bps20590

سه شنبه 14 مهر 1388, 18:52 عصر

با سلام
يك سوال خدمت شماها داشتم
همانطور كه مي دانيد اين حملات در هنگام get وpost كردن اطلاعات رخ ميده حال ميخواستم بدونم اگه ما داخل فايلمون يك دستور sql داشته باشيم كه مقدارش رو هم از داخل خود فايل گرفته باشه بازهم احتمال حمله به اين sql وجود داره وبايد اون مقدار رو هم فيلتر كنيم
ضمنا اگه فيلدي كه ما پاس مي كنيم عددي باشه چشور بايد دستور چك كردن يا همون فيلتر براي جلوگيري از sql injection رو بنويسيم

با تشكر

hamedsabzian

دوشنبه 10 خرداد 1389, 22:58 عصر

با سلام
يك سوال خدمت شماها داشتم
همانطور كه مي دانيد اين حملات در هنگام get وpost كردن اطلاعات رخ ميده حال ميخواستم بدونم اگه ما داخل فايلمون يك دستور sql داشته باشيم كه مقدارش رو هم از داخل خود فايل گرفته باشه بازهم احتمال حمله به اين sql وجود داره وبايد اون مقدار رو هم فيلتر كنيم
ضمنا اگه فيلدي كه ما پاس مي كنيم عددي باشه چشور بايد دستور چك كردن يا همون فيلتر براي جلوگيري از sql injection رو بنويسيم

با تشكر

در مورد سوال اول، اگر مقدار مورد استفاده بدون کنترل اعتبار از فیلد های GET, POST و کوکی برداشته نشه، تزریق اتفاق نمی افته.
سوال دوم،
اگه فیلد عددی باشه بهترین کار بررسی این هستش که آیا مقدارش هم عددی هست یا نه!

علیرضا حسن زاده

سه شنبه 11 خرداد 1389, 00:02 صبح

یکی از بهترین روش های مقابله استفاده از SP در SqlServer و برای حال کلی ارسال مقادیر برای دستورات به صورت پارامتر می باشد این روش نه در همه موارد ولی تا 99% درصد جلوی حمله رو می گیره البته ناگفته نماند که اعتبار سنجی اطلاعات توسط سیستم هم جای خود را دارد