Hoe bescherm ik me tegen MS SQL sql injection ? - Privacy en beveiliging

zaterdag 14 april 2007 11:37

Acties:

Verwijderd

Topicstarter

Hallo,

De vraag is eigenlijk het zelfde als de titel. Mijn database is nu meerdere malen gehackt door dit type aanval. Ik wil graag weten hoe ik me hier tegen bescherm.

Alvast bedankt.

zaterdag 14 april 2007 11:39

Acties:

Brakkie

blaat

Stored procedures gebruiken helpt geloof ik wel. En anders parameterized queries. Dit hoort denk ik meer in programming en je zou kunnen vertellen wat je zelf allemaal al ontdekt hebt.

Systeem | Strava

zaterdag 14 april 2007 11:43

Acties:

André

Analytics dude

Wat heb je geprobeerd er tegen te doen en waarom werkte dat niet? Het is niet de bedoeling dat wij je hier alles voor gaan kauwen

zaterdag 14 april 2007 11:50

Acties:

Verwijderd

simpel, alle informatie die van buiten komt, gebruikers input dus, checken op geldigheid.

de naam 'sql injection' betekkent letterlijk 'sql injectie of invoeging'. er wordt dus iets toegevoegd aan je sql queries. dus moet je je queries en welke informatie je daar aan toevoegt controlleren op geldigheid zodat kwaden niet schadelijke code of waarde's kunnen toevoegen aan je sql query.

verder hoort dit inderdaad, in de devschuur onder programming thuis, maar dat hadden de mods ook al door denk.

zaterdag 14 april 2007 11:51

Acties:

b19a

Als je eens op die term gaat zoeken, er zijn boeken vol over geschreven op het web.

zaterdag 14 april 2007 13:40

Acties:

whoami

Ook in de PRG FAQ vind je er trouwens iets over; gewoon geen gebruik maken van string-concatenation om je queries op te bouwen, maar gebruik maken van parameters (of dat nu een parametrized query is, of een SP, maakt dan eigenlijk niet zoveel uit).
Hoedanook, er is idd genoeg info hierover te vinden.
Bv, in de FAQ dus.

https://fgheysels.github.io/