CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede carstenandersen Nybegynder
03. oktober 2011 - 16:56 Der er 12 kommentarer og
1 løsning

SQL injection

Hej eksperter

Vi har et mindre cms system, hvor alle vores kunder bruger samme database. De har deres eget domæne, og hver af deres sider får et Id. En kunde har f.eks. siden www.kundensdomæne.dk/side.asp?Id=27551324. Jeg er blevet gjort opmærksom på, at dette giver et sql hul! Hvad består hullet i? Hvad kan jeg gøre for at lukke det? Hvor kan jeg læse meget mere om dette?

Virkelig på forhånd tak !
Avatar billede hansepeter2 Praktikant
03. oktober 2011 - 17:02 #1
I dette tilfælde skal du sikre dig, at id udelukkende består af tegnene [0-9], inden du bruger det i din database.

select * from tabel where id=x

Hvis du tillader alle værdier af x, så kan brugeren jo selv digte videre på din sqlsætning.


Læsestof: google + sql injection
Avatar billede hansepeter2 Praktikant
03. oktober 2011 - 17:08 #2
Alle steder, hvor du byggger en sqlsætning med input udefra, skal du kontrollere/uskadeliggøre data inden du gør brug af det.
Avatar billede carstenandersen Nybegynder
03. oktober 2011 - 17:09 #3
hansepeter2, tak for dit svar :-)

Kunne godt tænke mig, at nogle kom med et noget mere detalteret svar - har nemlig søgt i google, men svært at overskue de forskellige forslag ;-)
Avatar billede arne_v Ekspert
03. oktober 2011 - 17:09 #4
Generelt: brug parameters !
Avatar billede arne_v Ekspert
03. oktober 2011 - 17:10 #5
http://www.eksperten.dk/guide/1250
Avatar billede carstenandersen Nybegynder
03. oktober 2011 - 17:22 #6
arne_v, tak for svar :-) Har lige læst guiden, som virker noget svær ud fra min kunnen ;-) Har selv undersøgt nærmere - kan det løses ved blot at sikre mod pling, altså på en aller anden måde replace Id, ala "Replace(Request.Form("txtusername"),"'","''")"?
Avatar billede softspot Forsker
03. oktober 2011 - 17:55 #7
Jeg hjælper dig gerne videre, hvis min guide ikke er klar nok (det kunne jo være den skulle opdateres :-))...
Avatar billede carstenandersen Nybegynder
04. oktober 2011 - 08:40 #8
Jeg er kommet videre og er blevet anbefalet løsningen på http://blogs.iis.net/nazim/archive/2008/04/28/filtering-sql-injection-from-classic-asp.aspx.

Jeg har endvidere tilføjet ' til kildekoden, og umiddelbart virket det rigtig godt. Hvis jeg f.eks. prøver at tilføje ' i en url, kommer der ikke:

[MySQL][ODBC 5.1 Driver][mysqld-5.1.41-3ubuntu12.10]You have an .....

men i stedet en fejlmeddelelse.

Hvad er jeres vurdering af denne metode? Er der noget, som den ikke tager højde for? Mit problem er, at jeg har rigtig mange sider, som er i "farezonen", så det vil være kanon blot at kunne includere en fil - i hvert fald som "brandslukning" i første omgang ;-)
Avatar billede softspot Forsker
04. oktober 2011 - 09:39 #9
Umiddelbart ville jeg foretrække at benytte parameteriseringen, da du så undgår alle andre problemer. Hvis du vælger at lave white- eller blacklisting risikerer du at du stadig efterlader et hul (selvom det sandsynligvis vil være mindre end før), fordi du ikke har gennemskuet alle de måder man kan snyde systemet på...

Nu er det i sagens natur svært at forholde sig til opgavens omfang, så det er naturligvis en afvejning ifht. cost/benefit, men jeg vil tro kunderne foretrækker den sikre løsning frem for en mindre usikker løsning ;-)

En anden ting er naturligvis hvor godt den driver du benytter understøtter Command-objektet, men det kan du jo teste dig ud af. Jeg har ikke selv erfaring med at køre med Command-objekter op mod en MySQL, så der kan jeg desværre hjælpe med råd og vejledning...
Avatar billede carstenandersen Nybegynder
04. oktober 2011 - 12:42 #10
Tusind tak for jeres svar, som jeg klart kan bruge i problemløsningen. Smid alle et svar og pointene fordeles ;-)
Avatar billede softspot Forsker
04. oktober 2011 - 12:46 #11
Velbekomme.
Avatar billede softspot Forsker
04. oktober 2011 - 12:46 #12
Ups! Nu med svar ;-)
Avatar billede carstenandersen Nybegynder
06. oktober 2011 - 06:53 #13
hansepeter2 og arne_v, vil I ikke have del i pointene? Smid et svar ;-)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Programmeringssprog kurser
Kurser inden for grundlæggende programmering
Se alle Programmeringssprog kurser

Flere spørgsmål fra ASP kategorien

Titel Indlæg Oprettet Seneste aktivitet
Lost focus Af bsn i ASP 1 07/11/202415:34 01/01/202514:58
ASP classic Af bsn i ASP 8 28/10/202423:11 30/10/202422:51
Classic - filer vist med sidste fil først Af bsn i ASP 5 23/05/202409:56 24/05/202400:02
Optimer MySql table med ASP Af poulmadsen i ASP 4 26/04/202417:16 26/04/202418:37
JSON Af ingeman i ASP 3 07/04/202417:53 08/04/202412:09
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 15:18 Valg af vejrstation Af KurtG i Andet hardware
I går 14:02 Lenovo Yoga hænger i opstart. Af valby i PC
I går 11:40 Fjerne kontoer i Teams Af Klaus Fagerlund i Andet software
I går 09:09 Excel hjælp Af rudbech i Excel
11/0917:10 Joomla artikler Af rmadsen80 i CMS-systemer
White papers
Flere white papers »


Premium
Teaser billede
Forskere skabte et socialt medie befolket af AI-bots: Derfor er det nærmest umuligt at lave sunde platforme
Læs mere »
Uenighed blandt EU-lande kan betyde død for kontroversielt chat-forslag: Danske topforskere advarer mod konsekvenserne
Danske it-konsulenter er under hårdt pres: Hvad er de egentlig værd?
Erik Damgaard vil sælge sit it-guldæg - prisen kan runde to milliarder kroner
Se alle »
Computerworld
Teaser billede
Så meget kommer de til at koste: Apple løfter sløret for helt nye iPhones, Apple-ure og AirPods
Læs mere »
Alt om Apples spritnye iPhone Air – og hvorfor den nok vil floppe
Microsoft åbner for kildekoden til banebrydende program: Et af de få, som Bill Gates selv har kodet
Sådan kan du pludselig på en enkel måde hælde en halv terabyte ekstra RAM i din arbejdsmaskine
Se alle »
CIO
Teaser billede
De gyldne tider som it-konsulent er forbi: Noget er i gang med at ødelægge den guldrandede forretningsmodel
Læs mere »
Er vokset 261 procent på ét kvartal: "Vi oplever en massiv interesse. Kunderne vil have kontrollen tilbage"
Microsoft kalder sine ansatte tilbage på kontoret: Så mange dage om ugen skal de mindst være tilstede
Skynd dig at opdatere: Microsoft har opdaget 86 sårbarheder - flere af dem er alvorlige
Se alle »
Job & Karriere
Teaser billede
Tryg skiller sig af med 225 it-medarbejdere: Outsourcer stor del af sin it-drift til indere
Læs mere »
Lille dansk it-virksomhed fra Vanløse lander drømmekontrakt, der rækker langt ind i stifterens pension
Her er fidusen: Sådan fastholder KMD og Twoday deres it-folk i lang tid
Novo Nordisks CIO og digitale topchef, Anders Romare, forlader selskabet
Se alle »
White paper
Teaser billede
Sådan får du succes med AI i hele organisationen
Læs mere »
Revolutionér kundeoplevelsen med AI og automatisering
Er I klar til at tage næste skridt på den digitale retailrejse?
IT i front: Sådan bliver netværk en strategisk driver
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »