Ir para conteúdo
Fórum Script Brasil
  • 0

Sql Injection


michelepiovani

Pergunta

8 respostass a esta questão

Posts Recomendados

  • 0

Colega,

Perdoe minha ignorância, mas o que é "SQL Injection"?

Por dedução, posso concluir que seria uma "injeção" de dados em um banco de dados através de uma instrução SQL?

Se for isso, teoricamente só seria possível se alguém não autorizado se conectasse à sua base de dados Access, através de um script "secreto" no servidor, ou seja, um script que você não saiba que está lá. Se esse "alguém" conhecer a estrutura de seu banco de dados, pior ainda, o acesso será total.

Eu mesmo uso scripts assim em algumas empresas onde já desenvolvi páginas, para eu poder manipular a base de dados em caso de algum problema (posso fazer tudo através de SQL, incluir, alterar, deletar, criar e alterar tabelas, etc...)

Ainda, existe a possibilidade de algum aplicativo remoto acessar sua base. Se forem dados muito importantes, descarte o Access e passe para algo menos suscetível 'a invasões, como SQL Server ou mesmo MySQL, apesar deste funcionar melhor com Linux do que com Windows.

Para o Access, o ideal seria que você colocasse uma senha no arquivo MDB, só que se for Access97 pode esquecer, eu mesmo já desenvolvi um revelador de senhas para Access97, e estou quase terminando um para Access2000. Aliás na Internet tá cheio de códigos que revelam senhas de bancos de dados Access, sem falar nos programas já prontos.

Se não for isso, poste msg novamente, ok?

Boa sorte,

cwbs

Link para o comentário
Compartilhar em outros sites

  • 0

Esclarecendo sua dúvida, "SQL Injection" é uma técnica de invasão onde o HACKER coloca um comando no login da sua página e consegue acessar seu banco todo, inclusive apagar dados...

Por exemplo, se um engraçadinho coloca '"; drop table xxxxx;" no lugar da senha, ele derruba minha tabela... e para ele descobrir minha tabela, basta ele colocar uma ' (aspa simples) no campo usuário que o sistema retorna um erro e informa todas as informações que o HACKER precisa...

Link para o comentário
Compartilhar em outros sites

  • 0

Colega,

Li o documento até a página 8 e fiquei aterrorizado! Já imaginava que isso era possível, mas não acreditava que o SQL Server poderia ter um "rombo" tão grande como esse.

Minha sorte é que, prevendo algo deste tipo, implementei uma série de dispositivos para validar todas as entradas de usuários, inclusive removendo palavras e símbolos reservadas do SQL, ASP, HTML, etc... antes de submeter os formulários. Achei que palavras do tipo "select", "insert", "drop", "<html>", etc. poderiam ocasionar algum tipo de erro, mas não imaginava que alguém poderia invadir um banco de dados assim (vivendo e aprendendo...).

Esse documento que você indicou foi muito valioso. Acompanhando este raciocínio, dá pra ver que é perfeitamente possível essas coisas acontecerem.

Obrigado!

cwbs

Link para o comentário
Compartilhar em outros sites

  • 0

Essa é o script que usei !

Caso haja algum caractere diferente, ele retorna false !

Obrigada a todos q me ajudaram ...

Bjins

Função:

function validasenha(valor) 
   boa_senha_carac = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789"
   validasenha = true
   for i = 1 to len(valor)
     c = mid(valor, i, 1)
     if (InStr(boa_senha_carac, c ) = 0 ) then
        validasenha = false
        exit function
     end if
   next
end function
Pra verificar, faça assim:
valida = validasenha(Request.Form("teste"))
If valida = false Then
   Response.Write "ERRO"
   Response.End()
End If

Link para o comentário
Compartilhar em outros sites

  • 0

Ai pessoal, estou trabalhando no desenvolvimento de um código de bloqueio, da uma olhada: http://scriptbrasil.com.br/forum/index.php?showtopic=122247

O problema não está apenas nos formulários, a invasão poderá ocorrer via querystring, em rotinas diversas de seu site, rotinas como pesquisas, etc etc etc

Ajudem a fazer este código, teste, dê sugestões e critique please!!!!

Link para o comentário
Compartilhar em outros sites

Participe da discussão

Você pode postar agora e se registrar depois. Se você já tem uma conta, acesse agora para postar com sua conta.

Visitante
Responder esta pergunta...

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emoticons são permitidos.

×   Seu link foi incorporado automaticamente.   Exibir como um link em vez disso

×   Seu conteúdo anterior foi restaurado.   Limpar Editor

×   Você não pode colar imagens diretamente. Carregar ou inserir imagens do URL.



  • Estatísticas dos Fóruns

    • Tópicos
      152,3k
    • Posts
      652,3k
×
×
  • Criar Novo...