Classic ASP SQL-Injection

Ich habe vor kurzem geerbt, eine klassische asp-website mit einer Tonne von inline-SQL-insert-Anweisungen, die anfällig für SQL-injection-Angriffe.

Diese insert-Anweisungen ausgeführt, die über die ADO-Befehl-Objekts.

Wird die Einstellung des ADO-Command-Objekts Vorbereitet-Eigenschaft auf true sicherzustellen, dass die Abfrage parametrisiert wird, vor der Ausführung, damit Minderung der Gefahr von SQL-injection?

InformationsquelleAutor klork | 2009-10-06
  1. 6

    Dieser Link sollte hilfreich sein.

    Classic ASP SQL-Injection Schutz

    InformationsquelleAutor kevchadders
  2. 6

    Nicht, wenn Sie erstellen eine SQL-Zeichenfolge mit den Werten, die Sie bekommen, direkt von "außen", dann ein "prepared statement" wird dir nicht helfen.

    einen 

    sSQL = "SELECT * from mytable where mycolumn = '" + querystring("value") + "'"

    ist noch ärger.
    Der einzige Weg, dies zu lösen, ist durch die Verwendung von Parametern in der Abfrage.

    InformationsquelleAutor Hans Kesting
  3. 2

    Können Sie auch einen Blick auf eine asp-classic open-source-Projekt namens "Owasp stinger'. Das hilft nicht nur mit Sql-injection, aber header-injection und viele andere Sicherheitsprobleme gemeinsam ist allen web-apps.

    http://www.owasp.org/index.php/Classic_ASP_Security_Project

    • +1 für die owasp 🙂
    InformationsquelleAutor user213186
  4. 0

    Hier ist ein weiterer guter link und Beispiel.

    http://blogs.iis.net/nazim/archive/2008/04/28/filtering-sql-injection-from-classic-asp.aspx

    In der Vergangenheit erschaffen wir nur ein paar Funktionen zu behandeln, die außerhalb input für SQL-injections und XSS. Dann langsam realisierten wir alle inline-SQL-gespeicherten Prozeduren.

    InformationsquelleAutor Jason Too Cool Webs
  5. -2

    Was würde ich vorschlagen, Sie tun, ist schreiben eine Funktion zum bereinigen der Benutzer-Eingang, dann laufen alle request-Variablen durch, die. Wenn ich schrieb meine ich habe Sachen wie:

    • escape-Anführungszeichen,
    • entfernen ; und andere Sonderzeichen und
    • stellen Sie sicher, dass Sie konnte nicht -- (Kommentar) das Ende der Anweisung.

    Meisten SQL-injection-versuchen würde, so etwas wie ' or 1=1 or a='
    also den SQL-code wäre :

    SELECT * from mytable where mycolumn = '' or 1=1 or a=''

    So entweicht das einfache Anführungszeichen ist der real big one Sie sich sorgen machen müssen.

    • Eine Menge Leute fallen in die Falle. Erstellen von Funktionen macht den code weniger lesbar, und ist nicht zukunftsfähig. Ich habe keine Möglichkeit zu verfolgen sdown alle klassischen ASP-Seiten, die ich vor Jahren gebaut, geschweige denn Update-Funktion Sie können oder können nicht verwenden werden. ADO-Parameter oder paramterised gespeicherte Prozeduren sind der Weg zu gehen.
    • ich bin damit einverstanden Parameter sind am besten üben, aber wenn Ihr versucht zu bereinigen, die eine Reihe von code ganz schnell dann wickeln alle Benutzer-Eingaben in einer Funktion ist einfacher
    • Ich glaube nicht, dass es so lange dauert, das hinzufügen von ein paar oCmd.Parameters.Append oCmd.CreateParameter(...) Anweisungen, um Ihren code, und ehrlich in Situationen wie dieser denke ich, sind Sie besser dran mit Schwerpunkt auf Qualität statt Geschwindigkeit, besonders wenn Sie nicht Zeit haben, um die Arbeit zweimal.
    InformationsquelleAutor Carter Cole
Schreibe einen Kommentar