Recentemente ho ereditato un classico sito Web ASP con una serie di istruzioni di inserimento SQL incorporate che sono vulnerabili agli attacchi di SQL injection.Classic ASP SQL Injection
Queste istruzioni di inserimento vengono eseguite tramite l'oggetto comando ADO.
L'impostazione della proprietà Preparato dell'oggetto ADO Command su true assicurerà che la query sia parametrizzata prima dell'esecuzione, riducendo così il rischio di SQL injection?
Questo collegamento dovrebbe rivelarsi utile.
No, se si crea una stringa SQL con valori che si ottiene direttamente da "esterno", una "istruzione preparata" non sarà di aiuto.
un
sSQL = "SELECT * from mytable where mycolumn = '" + querystring("value") + "'"
è ancora in cerca di guai. L'unico modo per risolverlo è usare i parametri nella tua query.
Quello che vorrei suggerisco di fare è scrivere una funzione per disinfettare l'input dell'utente, quindi eseguire tutte le variabili richiesta tramite questo. Quando ho scritto il mio l'ho fatto cose del genere: citazioni
iniezione La maggior parte di SQL avrebbe cercato qualcosa di simile ' or 1=1 or a=' modo che il codice SQL sarebbe:
SELECT * from mytable where mycolumn = '' or 1=1 or a=''
Così fuga apici è il vero grande è necessario preoccuparsi.
Un sacco di persone cadono in quella trappola. La creazione di funzioni rende il codice meno leggibile e non è a prova di futuro. Non ho modo di rintracciare tutti i classici siti ASP che ho costruito anni fa, per non parlare dell'aggiornamento di una funzione che potrebbero utilizzare o meno. I parametri ADO o le stored procedure parametrizzate sono la strada da percorrere. –
Sono d'accordo che i parametri sono le migliori pratiche, ma se stai provando a ripulire un mucchio di codice in modo molto veloce, avvolgere tutti gli input dell'utente in una funzione è più semplice. –
Non credo ci voglia molto tempo per aggiungere un po 'di oCmd.Parameters .Appendete le dichiarazioni di oCmd.CreateParameter (...) al vostro codice, e onestamente in situazioni come questa penso che sia meglio concentrarsi sulla qualità piuttosto che sulla velocità, in particolare se non avete il tempo di fare il lavoro due volte. –
Puoi anche guardare un progetto open source asp classico chiamato "Owasp stinger". Ciò non aiuta solo con l'iniezione di Sql, ma l'iniezione di intestazione e molti altri problemi di sicurezza comuni a tutte le app Web.
+1 per la fine :) – gmaran23
Ecco un altro buon collegamento e l'esempio.
http://blogs.iis.net/nazim/archive/2008/04/28/filtering-sql-injection-from-classic-asp.aspx
In passato abbiamo creato un paio di funzioni per gestire qualsiasi ingresso esterno per iniezioni SQL e XSS. Poi lentamente abbiamo convertito tutto l'SQL inline in stored procedure.
possibile duplicato di [Protezione ASP SQL Classic Injection] (http://stackoverflow.com/questions/149848/classic-asp-sql-injection-protection) – NotMe