Iceguy Posted November 14, 2011 Report Share Posted November 14, 2011 Vejo muita gente fazendo umas rotinas enormes de tratamento de strings pra prevenir SQL Injection, mas eu sempre usei ADODB.Parameters e até então nunca tive problemas. ADODB.Parameters protege de SQL Injection? Se não, onde é a falha? Quote Link to comment Share on other sites More sharing options...
0 bareta Posted November 16, 2011 Report Share Posted November 16, 2011 não tem função contra sql injection não, se sua conexão executa coisas direto de querystrings ou forms tem que tratar.posso ta falando bobeira, mais pelo que testei o access não deixa usar sql injection. já o mysql aceita ^^ Quote Link to comment Share on other sites More sharing options...
0 Iceguy Posted November 17, 2011 Author Report Share Posted November 17, 2011 Access aceita, se tu colocar usuário admin e senha x' OR 'x'='x e o cara jogar o valor direto na string da sql o invasor acessa com privilégios de admin (normalmente o pessoal coloca usuário admin)A questão é que se eu criar por exemplo um ADODB.Parameter e disser que eçe é um texto de 20 caracteres, e jogar lá dentro SQL Injection, e esse parâmetro for parte de uma consulta por exemplo, o parâmetro em si garante pra você que vai entrar texto, você não precisa dar replace num monte de coisa. Posso colocoar esse x' OR 'x'='x no campo que se o código tratar como parameter ele não funciona como injection.Acho que única falha (achei ontem) é em stored procedure que execute qualquer coisa que vier, daí mesmo como parâmeter ele zoa com tudo Quote Link to comment Share on other sites More sharing options...
Question
Iceguy
Vejo muita gente fazendo umas rotinas enormes de tratamento de strings pra prevenir SQL Injection, mas eu sempre usei ADODB.Parameters e até então nunca tive problemas. ADODB.Parameters protege de SQL Injection? Se não, onde é a falha?
Link to comment
Share on other sites
2 answers to this question
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.