:strip_icc():strip_exif()/u/43535/tweakers_icon01.jpg?f=community)
Ik zat nog even op mijn site te bekijken over de beveiliging van mijn member deel. Nu zie ik hier op GoT een aantal topics over SQL Injection Attacks enzo.
Nu heb ik de volgende code:
Dit werkt goed en als je bijvoorbeeld inlogt met username '-- dan krijg je toch een foutmelding omdat je zoiezo een geldig wachtwoord nodig hebt uit het record wat je ophaalt dmv het ingevulde username!
Maar is dit al goed of zie ik toch iets (heel belangrijks) over het hoofd? Want de DROP, DELETE etc worden allemaar weggequote omdat je altijd wel een singel quote nodig hebt en deze worden auto verdubbeld.
Nu heb ik de volgende code:
ASP:
1
2
3
4
5
6
7
| User = Replace(Request.Form("User"), "'", "''") Pass = Replace(Request.Form("Pass"), "'", "''") LeesDB "SELECT * FROM Users WHERE User = '" & User & "'" If RS.RecordCount = 1 AND RS("Pass") = Pass Then [...] |
Dit werkt goed en als je bijvoorbeeld inlogt met username '-- dan krijg je toch een foutmelding omdat je zoiezo een geldig wachtwoord nodig hebt uit het record wat je ophaalt dmv het ingevulde username!
Maar is dit al goed of zie ik toch iets (heel belangrijks) over het hoofd? Want de DROP, DELETE etc worden allemaar weggequote omdat je altijd wel een singel quote nodig hebt en deze worden auto verdubbeld.
Webhosting van SkyHost.nl: 25 Mb / 1 Gb windows hosting € 4,50 p/m excl.btw!
:strip_icc():strip_exif()/u/20300/icon_shrek.jpg?f=community){kind=icon}
/u/56680/gurgi.png?f=community)
Gebruik anders eens de search of Google; daar komt dit naar voren, met de gevaren, valkuilen, etc. 
Dit topic is gesloten.