Citat:
|
Ursprungligen postat av Kay
Jag har lite funderingar kring säkerhet också. Knackar ASP classic.
Formulärsfältet "kommentar" kollas med Regexp så det är exempelvis A-Z, a-z, 0-9. Om det replikerar True, är det lugnt att köra formulärsfältsvärdet ostrippat i en SQL-sträng eller är det möjligt att mata in data som går igenom regexpen men som ändå innehåller skräp som kan manipulera SQL-strängen?
|
Det borde vara säkert om det sker på servern. Har man komplexa regex eller om man jobbar flera stycken i ett projekt, då är risken större att det kan uppstå luckor. Vad händer om mönstret ändras? Säkerställs det att det inte slinker igenom farlig info? Sånt är lätt att missa. Vem som helst kan klanta sig.
Citat:
|
Ursprungligen postat av Kay
Vilka tecken bör strippas bort ifall man vill använda en Form/QueryString-variabel i en SQL-sats? Räcker det med att ersätta enkelfnutt med två?
|
Inget bör filtreras. Man vill oftast inte ändra på informationen, speciellt inte när man inte behöver. Använd parameteriserade frågor istället!