Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
liste (exhaustive) sql inject
Bonjour,
Voila j'ai une application en vb.net qui me permet de faire remplir des champs de texte par des utilisateurs pour alimenter une base sql server.
Dans le but de réduire au maximum le risque de sql injection j'aimerais faire le tour des mots à bannir pour l'instant j'ai :
script
exec
exec(
;set
set
into
varchar(
select
insert
update
delete
cast(
cast
convert(
convert
drop
-shutdown
Voila je fais donc appelle à vos lumières pour compléter cette liste!
D'avance merci à vous tous!
Cela ne sert à rien. En effet le code peut avoir été écrit en binaire et avec un CONVERT reconvertit en data. Or enlever CAST ou CONVERT signifie par exemple que M. CASTAING ou M. CONVERT ne pourrons pas utiliser votre application.
Vous faites donc fuasse route sur la stratégie de gestion de l'injection de SQL. Le plus simple étant de tester l'existance des éléments de paramètre passés ddynamiquement et non de tester des mots clefs.
A +
Frédéric Brouard - SQLpro - ARCHITECTE DE DONNÉES - expert SGBDR et langage SQL
Le site sur les SGBD relationnels et le langage SQL: http://sqlpro.developpez.com/
Blog SQL, SQL Server, SGBDR : http://blog.developpez.com/sqlpro
Expert Microsoft SQL Server - M.V.P. (Most valuable Professional) MS Corp.
Entreprise SQL SPOT : modélisation, conseils, audit, optimisation, formation...
* * * * * Expertise SQL Server : http://mssqlserver.fr/ * * * * *
Bonjour,
un peu d'aide sur le sujet :
http://www.securityfocus.com/infocus/1768
Tu peux aussi utiliser FXCop pour détecter dans ton code client les endroits où tu utilises des requêtes paramétrées.
Si tu n'es pas regardant à la dépense, une bonne solution est d'acheter un proxy SQL, qui filtre les requêtes.
Répondre avec citation
Partager