Sto cercando di fare il mio sito sicuro contro gli attacchi SQL injection. Qualcuno ha qualche buoni collegamenti per rendere il sito è sicuro contro questi tipi di attacchi in un sito ASP.NET (C#, moduli web)?SQL Injection prevenzione da attacchi: da dove si comincia
EDIT:
Tengo a precisare a sto usando l'Entity Framework
La prima e migliore linea di difesa è di non usare dynamic SQL.
Usare sempre parameterized queries.
Date un'occhiata al OWASP page about SQL Injection.
Questa è una grande serie che copre le principali 10 minacce di sicurezza per le applicazioni web e come mitigare utilizzando ASP.net: http://www.troyhunt.com/2010/05/owasp-top-10-for-net-developers-part-1.html
Vedi queste risorse:
In sostanza, come Oded già sottolineato, si riduce a smettere di concatenare insieme istruzioni SQL - soprattutto se che coinvolge i dati inseriti dall'utente di in caselle di testo - e utilizzare query parametrizzate in ADO.NET.
Date un'occhiata qui:
Utilizzare le stored procedure con parametri ed evitare SQL in linea quando possibile ...
E 'facile. La maggior parte dei vulns iniezione provengono dal codice che assomiglia a questo:
var myQuery="SELECT something FROM somewhere WHERE somefield="+userSuppliedData;
//execute myQuery against db
//now suppose userSuppliedData=="'';DROP TABLE somewhere;"
Se stai arrotolare le istruzioni SQL come questo, sei a rischio. Prendi in considerazione l'utilizzo di un ORM o query parametrizzate.
tendo a collegare l'ebook realizzato da questi. Ma solo una delle vulnerabilità è SQL Injection di cui l'OP ha chiesto informazioni. – Oded
Buon punto - Aggiunta -> http://www.troyhunt.com/2011/12/free-ebook-owasp-top-10-for-net.html –