WN
Sidan 2 av 2 1 2
Visa 40 inlägg från det här ämnet på en sida

WN (https://www.wn.se/forum/index.php)
-   Serversidans teknologier (https://www.wn.se/forum/forumdisplay.php?f=4)
-   -   SQL Injections (https://www.wn.se/forum/showthread.php?t=6747)

Joel 2005-03-16 18:24
Tur att det finns magic_quotes=on i PHP.ini säger jag :D
Så man slipper hålla på å modifiera alla gånger en text ska synkas med databasen.

TomasJ 2005-03-17 12:43
Man bör använda parametriserade frågor som använder platshållare i sql-satserna istället för att ta emot data direkt från en användare och konkatenera på den på sql-strängen efter att ha försökt substituera bort potentiellt farliga strängar.
Här är ett citat från en chat med Michael Pizzo (Microsoft architect in the WebData team and one of the designers of ADO.NET version 1.0):
Citat:

SqlInjection occurs when an application appends user-input to a query string sent to the server. Rather than concatenate unvalidated strings from the user, you should make it a practice to use parameterized queries. For example; instead of using: "Select * from customers where custid = " & customerIDuse "Select * from customers where custid = @custID"and call cmd.Parameters.AddWithValue("@custID",customerID)
Källa: http://msdn.microsoft.com/chats/tran...io_060104.aspx

Här är ett kodexempel med placeholders för dig som använder klassisk (d.v.s. "icke-.NET") ADO/ASP/COM:
http://msdn.microsoft.com/library/de...vecommandx.asp

/ Tomas

jimmie 2005-03-17 13:14
Jag vet att microsoft ska införa ett nytt sätt att skriva in datat i SQL-strängen som förhindrar SQL-injections. Kommer inte riktigt ihåg syntaxen. Fick reda på detta när jag var hos dem i Akalla på ett litet besök.


Alla tider är GMT +2. Klockan är nu 07:21.
Sidan 2 av 2 1 2
Visa 40 inlägg från det här ämnet på en sida

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson