ESTA CLASSE ESTA BOA OU FALTA ALGO IMPORTANTE?
Jaba o topico nem e meu mais agradeco pela pagina que voce mandou....
Pessoal,eu li com atenção o artigo do Macoratti citado pelo colega JABA.
Eu entendi como funciona o ataque por injeção Sql. No entanto,o própio Macorratti
sugere como solução no artigo,barrar entradas indevidas.
Ele sugere até uma função de exemplo:
Function LimpaLixo( input )
dim lixo
dim textoOK
lixo = array ( [Ô]select[Ô] , [Ô]drop[Ô] , [Ô];[Ô] , [Ô]--[Ô] , [Ô]insert[Ô] , [Ô]delete[Ô] , [Ô]xp_[Ô])
textoOK = input
for i = 0 to uBound(lixo)
textoOK = replace( textoOK , lixo(i) , [Ô][Ô])
next
LimpaLixo = textoOK
end Function
Logo,pergunto aos colegas. Se eu adicionar a minha classe esta [Ô]Validação[Ô] Antes da execução da instrução Sql nos métodos,
minha classe poderia ai sim ser usada.Ou ainda tem algum outro problema?????
Eu entendi como funciona o ataque por injeção Sql. No entanto,o própio Macorratti
sugere como solução no artigo,barrar entradas indevidas.
Ele sugere até uma função de exemplo:
Function LimpaLixo( input )
dim lixo
dim textoOK
lixo = array ( [Ô]select[Ô] , [Ô]drop[Ô] , [Ô];[Ô] , [Ô]--[Ô] , [Ô]insert[Ô] , [Ô]delete[Ô] , [Ô]xp_[Ô])
textoOK = input
for i = 0 to uBound(lixo)
textoOK = replace( textoOK , lixo(i) , [Ô][Ô])
next
LimpaLixo = textoOK
end Function
Logo,pergunto aos colegas. Se eu adicionar a minha classe esta [Ô]Validação[Ô] Antes da execução da instrução Sql nos métodos,
minha classe poderia ai sim ser usada.Ou ainda tem algum outro problema?????
Isto é apenas uma gambiarra, se o usuário for criativo, até mesmo isso pode ser driblado e digo mais, pode ser driblado sem grandes dificuldades. O negócio é que não é assim que isso deve ser feito. Volto a reiterar, estude orientação à objetos.
Pessoal,eu li o artigo do Macoratti citado pelo colega [Ô]JABA[Ô].
Entendi perfeitamente o que é e como funciona o ataque por injeção Sql.No entanto,o própio Macoratti sugere que para
resolver o problema se faça uma validação dos dados de entrada,barrando caracteres indesejados.Inclusive ele sugero,como exemplo
a seguinte função:
Function LimpaLixo( input )
dim lixo
dim textoOK
lixo = array ( [Ô]select[Ô] , [Ô]drop[Ô] , [Ô];[Ô] , [Ô]--[Ô] , [Ô]insert[Ô] , [Ô]delete[Ô] , [Ô]xp_[Ô])
textoOK = input
for i = 0 to uBound(lixo)
textoOK = replace( textoOK , lixo(i) , [Ô][Ô])
next
LimpaLixo = textoOK
end Function
Logo,pergunto aos colegas:
Se eu adicionar na minha classe, a validação da entrada,impedindo a execução da instrução Sql,como caracteres maliciosos nos meus métodos,
minha classe poderia ai sim ser usada,ou ainda tem algum outro problema????
Entendi perfeitamente o que é e como funciona o ataque por injeção Sql.No entanto,o própio Macoratti sugere que para
resolver o problema se faça uma validação dos dados de entrada,barrando caracteres indesejados.Inclusive ele sugero,como exemplo
a seguinte função:
Function LimpaLixo( input )
dim lixo
dim textoOK
lixo = array ( [Ô]select[Ô] , [Ô]drop[Ô] , [Ô];[Ô] , [Ô]--[Ô] , [Ô]insert[Ô] , [Ô]delete[Ô] , [Ô]xp_[Ô])
textoOK = input
for i = 0 to uBound(lixo)
textoOK = replace( textoOK , lixo(i) , [Ô][Ô])
next
LimpaLixo = textoOK
end Function
Logo,pergunto aos colegas:
Se eu adicionar na minha classe, a validação da entrada,impedindo a execução da instrução Sql,como caracteres maliciosos nos meus métodos,
minha classe poderia ai sim ser usada,ou ainda tem algum outro problema????
Marcos, isso aqui pode resolver o seu problema:
http://www.macoratti.net/09/07/c_adn_7.htm
vlw
http://www.macoratti.net/09/07/c_adn_7.htm
vlw
KURTGU, não precisa agradecer, pois é um prazer poder ajudar.
vlw
vlw
Tópico encerrado , respostas não são mais permitidas