[ASP.NET C#]Database search wel veilig? - Softwareontwikkeling

zaterdag 26 mei 2007 13:36

Acties:

Topicstarter

Ik heb om snel de content van een Gridview te kunnen filteren een simpele zoekfunctie gemaakt. Deze ziet er als volgt uit:

C#:

1
2
3

string clientInput = "%" + txtSearchField.Text + "%";
string myQuery = "SELECT * FROM Namen WHERE voornaam LIKE '" + clientInput + "'";
sqlSrcNS.SelectCommand = myQuery;

Nu vraag ik mij af of dit wel veilig is? Bestaat er niet het risico dat de gebruiker een SQL injectie uit kan voeren? En hoe is deze functie beter te maken?

zaterdag 26 mei 2007 13:41

Acties:

Verwijderd

Hiermee zou je al snel extra beveiliging kunnen inbouwen:

Forceer het datatype van je contraint;
Controleer vanaf welke pagina het request wordt uitgevoerd;
...

Succes

zaterdag 26 mei 2007 13:43

Acties:

Vae Victis

Dark Lord of the Sith

Nee, ja, met [google=asp.net parameterized queries]

zaterdag 26 mei 2007 18:39

Acties:

Verwijderd

Idd gebruik maken van geparameteriseerde queries zoals Vae Victis aangeeft. Nu is hij gevoelig voor SQL injection.

zaterdag 26 mei 2007 18:43

Acties:

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

[quote]Verwijderd schreef op zaterdag 26 mei 2007 @ 13:41:
Hiermee zou je al snel extra beveiliging kunnen inbouwen:
[list=1]
• Forceer het datatype van je contraint;

Zie de hiervoor al gegeven antwoorden (Parametrized Query's)

Verwijderd schreef op zaterdag 26 mei 2007 @ 13:41:
• Controleer vanaf welke pagina het request wordt uitgevoerd;
[/list]

En referer is way easy om te spoofen

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij