/ Forside / Teknologi / Udvikling / ASP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
ASP
#NavnPoint
smorch 9259
Harlekin 1866
molokyle 1040
Steffanst.. 758
gandalf 657
smilly 564
gibson 560
cumano 530
MouseKeep.. 480
10  Random 410
SQL injection
Fra : John Sarby


Dato : 28-09-10 17:38

Hej.
Der er en eller anden der bliver ved at hacke min database.
Spørgsmålet er:
Findes der et program der kan teste mine sider for en åbning hvor
de kan komme ind i databasen.
Kommer de ind via et inputfelt - korrekt eller hvad?
MVH
John

--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

 
 
Leif Neland (28-09-2010)
Kommentar
Fra : Leif Neland


Dato : 28-09-10 20:19

Den 28-09-2010 18:38, John Sarby skrev:
> Hej.
> Der er en eller anden der bliver ved at hacke min database.
> Spørgsmålet er:
> Findes der et program der kan teste mine sider for en åbning hvor
> de kan komme ind i databasen.
> Kommer de ind via et inputfelt - korrekt eller hvad?
> MVH
> John
>
DU har helt klart ikke lavet check for input:


http://playtimevideo.dk/showmovie/?filmid=9132=1

Det giver fejlen
Microsoft OLE DB Provider for SQL Server error '80040e14'

Incorrect syntax near '='.

/showmovie/content.asp, line 18

Du har sikkert noget lignende
sql = "select ... from film where id="&request.querystring("filmid")

Hvis du ikke kan finde ud af at lave prepared statements, så kan du i
det mindst lave

sql = "select ... from film where id="&cDbl(request.querystring("filmid"))


Og ellers, du kan prøve at se i loggen, om der er nogle mystiske requests.

Leif
Bevar P2, luk P3, der er nok P3'er i forvejen.

John Sarby (28-09-2010)
Kommentar
Fra : John Sarby


Dato : 28-09-10 22:09

Hej.
Tak for dit svar, men jeg har lavet check på mine input.
Det jeg kunne ønske mig er et program/værktøj der kunne teste om jeg har
glemt det i en eller flere af mine sider.
MVH
John


--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

John Sarby (28-09-2010)
Kommentar
Fra : John Sarby


Dato : 28-09-10 22:17

Hej igen.
Jeg kalder en funktion der se sådan ud ved mine input:

replaceForSearch(request.form("Type"))

function replaceForSearch(theTekst)
strRtn = ""

strRtn = Replace(theTekst,"'","´")
strRtn = Replace(strRtn,"<","[")
strRtn = Replace(strRtn,"--","__")

'retunere værdi
replaceForSearch = strRtn

end function


function replaceIdForSearch(theTekst)
strRtn = ""
if IsNumeric(theTekst) then
      strRtn = theTekst
end if



'retunere værdi
replaceIdForSearch = strRtn

end function

Er det iorden?
MVH
John



--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

Leif Neland (28-09-2010)
Kommentar
Fra : Leif Neland


Dato : 28-09-10 23:02

Den 28-09-2010 23:09, John Sarby skrev:
> Hej.
> Tak for dit svar, men jeg har lavet check på mine input.
> Det jeg kunne ønske mig er et program/værktøj der kunne teste om jeg har
> glemt det i en eller flere af mine sider.

Det kan da ikke passe, når jeg kan få en sql-fejl ved at skrive
http://playtimevideo.dk/showmovie/default.asp?filmid=a

Hvis det da er det site, vi snakker om.

Leif

--
Bevar P2, luk P3, der er nok P3'er i forvejen.

John Sarby (29-09-2010)
Kommentar
Fra : John Sarby


Dato : 29-09-10 16:49

Hej.
Tak for hjælpen, jeg tror det skulle være OK nu, men du må gerne teste om der
er andet.
Siden du omtaler er helt rigtig.
MVH
John


--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

John Sarby (30-09-2010)
Kommentar
Fra : John Sarby


Dato : 30-09-10 19:15

Hej.

Hvor finder jeg loggen?

MVH
John

--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

Leif Neland (30-09-2010)
Kommentar
Fra : Leif Neland


Dato : 30-09-10 22:55

Den 30-09-2010 20:15, John Sarby skrev:
> Hej.
>
> Hvor finder jeg loggen?
>

Det må du få at vide hos scannet

Leif
--
Bevar P2, luk P3, der er nok P3'er i forvejen.

Søg
Reklame
Statistik
Spørgsmål : 177577
Tips : 31968
Nyheder : 719565
Indlæg : 6409071
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste