Sql Injection

[fabio_jms]

Galera já li alguma coisa sobre o assunto mais não lembro onde, alguém ai sabe resolver esse problema ou de algum lugar na net q tenha uma boa explicação/tutorial?

Sem mais,

Fabio

[ursolouco]

Brother!!

Segundo esta coluna on-line, pergunta 83, a resposta para o seu problema é....

"SQL Injection é um termo simples que descreve o ato de passar [para o banco de dados] um código SQL que não foi feito pelo desenvolvedor através de uma aplicação"

Em outras palavras, SQL Injection é uma maneira de alguém invadir um servidor de banco de dados através da aplicação que acesse este banco de dados. Este assunto é coberto em detalhes no seguinte link:

http://www.sqlsecurity.com/DesktopDefault....index=2&tabid=3

Abraços!!!

[urso]

[ursolouco]

Brother!!

Um pouco mais sobre SQL Injection...

Abraços!!

[urso]

[poirot]

olá xara, eu estava com este mesmo problema e postei aqui, (acho que menos de 20 dias atras) ai o jissa me deu a maior força, procura neste mesmo tópico, com esse mesmo titulo (sql injection) que tem a solução lá

pelo menos comigo foi resolvido

[Tork]

o tópico que o poirot tá falando é esse:

http://scriptbrasil.com.br/forum/index.php...l=sql+injection

esse pode te ajudar tb:

http://scriptbrasil.com.br/forum/index.php...l=sql+injection

se você for no http://www.aspbrasil.com.br e procurar por sql injection, lá tem uns artigos!

[nostrinkes]

Engrossando o caldo

http://www.cfgigolo.com/archives/000103.html

[[ GuTo ]]

Fala Galera!!!

Assim... eu acho que não tem o porque de substituir o apóstrofo (aspas simples) por dois apóstrofos (duas aspas simples) no replace.

Acho q ficaria melhor substituir o apóstrofo por nada, assim(pelo menos na parte de login):

senha = Trim(Replace(Request.Form("senha"),"'",""))

Mas digamos que dae num sistema de cadastro, o brother que colocar o nome dele, e suponhamos q seu sobrenome é D'Avilla (ou qlqr outro q nome tenha um apóstrofo (aspas simples)).

Então, se eu substitir as aspas simples por duas aspas simples ou substituir a aspas simples por nada, não vai ser inserido o nome dele corretamente né?

Ficaria apenas como DAvilla, sem o apostrófo.

Mas eu não quero isso... quero que fique da meneira correta o nome do pobre cliente, hehe, tem como solucionar isso?

[jissa]

já que voces querem seguranca.. deem uma pesquisada em JavaScript Injection.. tambem pode fazer coisas piores que o sql injection... ou at'e falhas de administradores ou pessoas que simplesmente colocam programas prontos no ar (como um forum) e deixa o phpinfo.php facil de se achar... entre outras coisas... como deixar um banco de dados access em diretorios padroes e faceis de se achar como DB BD Data Base e os mesmos ficam um diretorio abaixo do Sistema principal.. voce se protege todo e alguém simplesmente baixa o seu Banco de Dados inteirinho com todas as informacoes.

Ou um erro muito comum at]e mesmo em grandes Sites como utilizar o Hide para alguns campos muito importantes como senhas.. (este 'e um bug que foi encontrado e utilizado na Globo.com recentemente) as pessoas pensam apenas em fazer o programa e fala o meu Server 'e seguro... mas eles mesmos estao deixando portas, janelas, e varias frestas para entrar uns ratinhos.

Se for pensar em estar 99% seguro(100% impossivel)

Como aqui não podemos discitir este tipo de tecnica.. sugiro que deem uma olhada no ou outros e vao achar algumas coisas interessantes para Estudo e Analise.. mas não usem sejem etiicos. ?)

Os melhores são em Ingles...

já Escrevi demais...

[[ GuTo ]]

Com certeza!

Li um artigo mtooo grande lá na amigoswm ontem, nossa, cansei de tanto ler, mas valeu a pena.

Por enquanto eu só queria saber o q eu tinha dito no meu post anterior.