Jump to content
Fórum Script Brasil
  • 0

SQL Injection x ADODB.Parameters


Iceguy

Question

Vejo muita gente fazendo umas rotinas enormes de tratamento de strings pra prevenir SQL Injection, mas eu sempre usei ADODB.Parameters e até então nunca tive problemas. ADODB.Parameters protege de SQL Injection? Se não, onde é a falha?

Link to comment
Share on other sites

2 answers to this question

Recommended Posts

  • 0

Access aceita, se tu colocar usuário admin e senha x' OR 'x'='x e o cara jogar o valor direto na string da sql o invasor acessa com privilégios de admin (normalmente o pessoal coloca usuário admin)

A questão é que se eu criar por exemplo um ADODB.Parameter e disser que eçe é um texto de 20 caracteres, e jogar lá dentro SQL Injection, e esse parâmetro for parte de uma consulta por exemplo, o parâmetro em si garante pra você que vai entrar texto, você não precisa dar replace num monte de coisa. Posso colocoar esse x' OR 'x'='x no campo que se o código tratar como parameter ele não funciona como injection.

Acho que única falha (achei ontem) é em stored procedure que execute qualquer coisa que vier, daí mesmo como parâmeter ele zoa com tudo

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



  • Forum Statistics

    • Total Topics
      152.2k
    • Total Posts
      652k
×
×
  • Create New...