حرفه ای: امنیت بانک اطلاعاتی !!!؟ [بایگانی]

View Full Version : حرفه ای: امنیت بانک اطلاعاتی !!!؟

aspismylove

شنبه 28 اسفند 1389, 13:19 عصر

سلام خسته نباشید

من چند وقت پیش یک سایت طراحی و نصبیدم و یکی از دوستان با یک دستور SQL جدول کاربران و پاک کرد !!:متفکر:

من نکاتی رو که باعث این کار میشد رو انجام داده بودم ولی باز هم با یک دستور SQL ساده جدولم پاک شد . چرا ؟؟؟؟ :اشتباه::اشتباه:

آخه برای وارد کردن من دستورات SQL رو پارامتر به پارامتر کار کردم و... :متفکر::متفکر:

ممنون میشم راهنمایی کنید :چشمک:

arta.nasiri

شنبه 28 اسفند 1389, 15:32 عصر

سلام
دوست عزیز یک راهش اینه که ورودی ها رو فیلتر کنی ! مثلا وقتی کاربر مقداری رو توی TextBox یا QueryString وارد میکنه اونو بررسی کنی !

اگه اشتباه نکنم این کد هم واسه فیلتر کردن و تبدیل هست !
HttpUtility.HtmlEncode

این نظر من بود! بازم اگه مشکلی بود در خدمتیم

aminghaderi

شنبه 28 اسفند 1389, 15:45 عصر

ممنون میشم راهنمایی کنید :چشمک:
روی هوا راهنمایی کنیم؟:گیج:

سلام.
sql injection حمله ای شایع در down کردن وبسایت ها.
برای جلوگیری یا نال کردن هر گونه حمله به اون راه هایی وجود داره که خوب معروف تریینشون استفاده از پارامتر در هر گونه ارتباط داده ای بین سرور و پایگاه هست که خوب ظاهرا اگر درست انجام بشه خطری سایت شما رو تحدید نمی کنه.

شما کد هایی که باعث ورود نفوز گر شده رو بزار تا ببینیم داستان از چه قراره.

alonemm

شنبه 28 اسفند 1389, 17:22 عصر

يك نظر استفاده از SP ها براي اجراي دستورات sql (كمي در سايت جستجو كنيد نكات زيادي در اين مورد هست)

spranza804

شنبه 28 اسفند 1389, 22:18 عصر

فقط TextBox و یا Query String باعث SQL Injection نمی شود. از طریق DropDown List هم مثلا ممکن است دستورات SQL تزریق شود.

V0R73X

شنبه 28 اسفند 1389, 22:22 عصر

سلام.
از ADO.NET استفاده میکنید یا SQLDataSourceControl?