 |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  | ||||||||||||||||||||||||||
SQL-injektion attack
December 18, 2009
SQL-injektion attack använder skadlig kod för att utnyttja säkerhetsproblem i en databas eller web-baserade applikationer. Dessa attacker utförs med hjälp av SQL-kommandon och kan få allvarliga konsekvenser som kontrollerar SQL Server eller upphöja sina privilegier därmed kontrollera databasen med en administratör privilegium tillåter en att lägga till, redigera och till och med släppa tabeller. ( http://www.stardeveloper.com/articles/display.html?article=2008112501&page=1 )
En SQL attack kan förhindras genom att genomföra sanitization metoder såsom att fastställa vilken typ av värde förväntas ) when expecting a string value as user input or getsecureval(cstr(param ),”'”, “”” ) when accepting user input from cookies. och använda funktioner som ersätter (str, "'", "" ") när väntar en sträng värde som användarna eller getsecureval (CStr (param ),"'"," "") när de tar emot användardata från cookies. Båda dessa metoder kommer att ersätta ett enda apostrof skrivas med sql injektion attacker till en dubbel citera vilket skulle skapa ett fel.
en kan också använda CLng () när förväntar numeriska värden skall anges av användaren, omvandlar den användaren att mata in numeriska genom att först analysera om det kan omvandlas om skadlig kod tas istället skulle den ge ett fel. De flesta webbutvecklare tenderar att fokusera mer på säkerhetshål i operativsystemet eller webbservern att webbplatsen ska köras på glömma det programmeringsspråk som SQL används för att utveckla databasen för den webbplatsen.
Visningar: unranked [ ? ]
Kommentarer
Har du något att säga?
