/ Forside / Teknologi / Udvikling / ASP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
ASP
#NavnPoint
smorch 9259
Harlekin 1866
molokyle 1040
Steffanst.. 758
gandalf 657
smilly 564
gibson 560
cumano 530
MouseKeep.. 480
10  Random 410
ASP og sikkerhed
Fra : Brian B. Christensen


Dato : 13-01-07 18:21

Jeg skal i gang med at lave en side som kan indeholde relativt
personlige oplysninger.

Hvad og hvordan sikrer jeg siden bedst når jeg bruger ASP og MySQL
databaser?

Jeg har selvfølgelig alm. bruger/password beskyttelse, men hvordan
sikrer jeg mig mod SQL injections o.l.?

Mvh. Brian

--
Creator of http://www.natart.dk

 
 
Brian B. Christensen (13-01-2007)
Kommentar
Fra : Brian B. Christensen


Dato : 13-01-07 18:24

Jeg vil lige fortælle at bruger/password bare gemmes i global.asa. Kan
dette også være et problem?

Mvh. Brian
--
Creator of http://www.natart.dk

Michael Weber (13-01-2007)
Kommentar
Fra : Michael Weber


Dato : 13-01-07 23:16


"Brian B. Christensen" <nej@denneemailerikkedenrigtige.dk> skrev i en
meddelelse news:n15iq21j478vh5suj40o3j9pr612pfipjh@4ax.com...
> Jeg skal i gang med at lave en side som kan indeholde relativt
> personlige oplysninger.
>
> Hvad og hvordan sikrer jeg siden bedst når jeg bruger ASP og MySQL
> databaser?
>
> Jeg har selvfølgelig alm. bruger/password beskyttelse, men hvordan
> sikrer jeg mig mod SQL injections o.l.?

Bange for at personlige oplysninger som højde/vægt o.s.v. kan blive ændret
af uautoriseret
personel ? :P

>
> Mvh. Brian
>
> --
> Creator of http://www.natart.dk

Måske denne artikel kan hjælpe ?
http://www.securiteam.com/securityreviews/5DP0N1P76E.html

Lad være med at samle en sql-streng ?
(som f.eks. "Select * from tabel1 where navn=' "& minVariabel &"' " )

Tilgå db via ADO (brug parametre) ?
http://www.w3schools.com/ado/ado_intro.asp

Hvis du bruger client-side validering på en side, sørg for at den modtagende
side tjekker
om brugeren kommer fra samme domæne (noget med request.servervariables) ?

Få, men enkle ting :)

Med venlig hilsen
Michael Weber



Brian B. Christensen (13-01-2007)
Kommentar
Fra : Brian B. Christensen


Dato : 13-01-07 23:17

On Sat, 13 Jan 2007 23:16:00 +0100, "Michael Weber"
<michael@CAN_YOU_GUESS_WHAT_TO_REMOVE_?_michaelweber.dk> wrote:

>Bange for at personlige oplysninger som højde/vægt o.s.v. kan blive ændret
>af uautoriseret
>personel ? :P

Øh, nej. Det er ikke sådanne personlige oplysninger.

>Måske denne artikel kan hjælpe ?
>http://www.securiteam.com/securityreviews/5DP0N1P76E.html

Den forklarer da lidt.

>Tilgå db via ADO (brug parametre) ?
>http://www.w3schools.com/ado/ado_intro.asp

Her forstår jeg så ikke lige hvad du mener. Kan du evt. henvise til
noget konkret i linket?


Tak for responsen.

Mvh. Brian
--
Creator of http://www.natart.dk

Michael Weber (14-01-2007)
Kommentar
Fra : Michael Weber


Dato : 14-01-07 00:01


"Brian B. Christensen" <nej@denneemailerikkedenrigtige.dk> skrev i en
meddelelse news:idmiq2huq6pnbvp30mm9rvvttftm0is0h2@4ax.com...
> On Sat, 13 Jan 2007 23:16:00 +0100, "Michael Weber"
> <michael@CAN_YOU_GUESS_WHAT_TO_REMOVE_?_michaelweber.dk> wrote:
>
> >Bange for at personlige oplysninger som højde/vægt o.s.v. kan blive
ændret
> >af uautoriseret
> >personel ? :P
>
> Øh, nej. Det er ikke sådanne personlige oplysninger.
>
> >Måske denne artikel kan hjælpe ?
> >http://www.securiteam.com/securityreviews/5DP0N1P76E.html
>
> Den forklarer da lidt.
>
> >Tilgå db via ADO (brug parametre) ?
> >http://www.w3schools.com/ado/ado_intro.asp
>
> Her forstår jeg så ikke lige hvad du mener. Kan du evt. henvise til
> noget konkret i linket?
>
>
> Tak for responsen.
>
> Mvh. Brian
> --
> Creator of http://www.natart.dk

Her er et eksempel ( kopier og gem som asp ) :
http://michaelweber.dk/test/sql_injection_test.txt
databasen (zippet access-db ) er her :
http://michaelweber.dk/test/data.zip

Pointen er :
1) Instantier et Command Objekt :
Set command= Server.CreateObject( "ADODB.Command" )

2) Instantier parametre, der skal sendes med Command-objektet :
command.Parameters.Append command.CreateParameter( "Brugernavn" ,
adVarchar , , 255 , adParamInput )
command( "Brugernavn" ) = "mit brugernavn"

På den måde pakker du indput ind i parametre og undgår f.eks. tegnet -> '
<-.

Prøv at leg med ovenstående eksempel og kig på
http://www.w3schools.com/ado/
under ADO Objects ( Command, Connection , DataTypes og Parameter ).

Med venlig hilsen
Michael Weber



Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408924
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste