SQL injection - på dansk

Ja, det er potentielt farligt. Du overtræder reglen om aldrig at stole på input fra brugeren. Inden du bruger request("id") på den måde skal du sikre dig at det repræsenterer et tal.

(I nyhederne lige nu: http://www.internetnews.com/dev-news/article.php/3631831 
    "You don't know that you have to filter user input," Lerdorf exclaimed.
)

den stoerste risiko er i forbindelse med login

et lille ekstrakt fra en af mine artikler

<quote>
2) single quotes med vilje (kendt som SQL injection)

Eksempel:

sql = "SELECT * FROM myusers WHERE un = '" + username + "' AND pw = '" + password + "'"

(efterfulgt af et test på om der blev fundet nogle records)

det virker fint for den pæne bruger som indtaster:
arne
hemmeligt

SELECT * FROM myusers WHERE un = 'arne' AND pw = 'hemmeligt'

men det returnerer forkert OK for den ondsinded cracker som indtaster:
arne
x' OR 'x' = 'x

SELECT * FROM myusers WHERE un = 'arne' AND pw = 'x' OR 'x' = 'x'
</quote>

men det kan ogsaa bruges til at give adgang til mere data end brugeren har
retmaessig adgang til - eller til at snige INSERT/UPDATE/DELETE statements ind

i dit eksempel saa overvej input:

177;DROP TABLE xxxx;

hvis du ikke validerer input og din database tillader 2 SQL saetninger i et kald, saa
mangler du en tabel !

en replace er ikke altid nok

bl.a. ikke i det sidste eksempel med DROP TABLE

jeg vil anbefale baade:
  input validering
og:
  brug af parameters til al SQL

parameters beskytter ret effektivt mod SQL injection

input validering beskytter baade mod SQL injection og XSS (cross site scripting)

arne_v -> Jeg skal validere om det er tal brugeren sender afsted?

i det konkrete tilfælde ja

Ok - smid et svar arne_v

Tak for hjælpen.

svar