אני כותב אתר ואני מפחד מאוד מפריצות אז אני נותן לכם פה חלק מהsql של האתר שלי ואני מבקש אם אתם יכולים לכתוב לי איך אתם הייתם פורצים או עוקפים את הקוד שלי ואיך אני יכול להימנע מזה. תודה מראש לעוזרים. תראו בזה כאתגר חח.

קוד:

 <% Set rsp = Server.CreateObject("adodb.recordset") SQL="Select Userid from users where UserName='"&Request("UserName")&"' and Pwd='"&_ Request("PassWord")&"' and SecurityLevel="&Request("rID") rsp.Open sql,conn,3,1 if rsp.EOF then Response.Redirect "../index.asp?id=601&rID="&Request("rID")&"&login=fail" else Session("securityLevelSite") = Request("rID") 'Response.Write Session("securityLevelSite") Response.Redirect "../index.asp?id="&abs(Request("rID")) end if %> 

תתחיל מזה שלא לוקחים נתונים שהגיעו ישירות מהמשתמש ודוחפים אותם ישר ל SQL. צריך להעביר אותם "חיטוי" (sanitize) אותם קודם לכן... ולמיטב זכרוני, זה אומר שאתה תצטרך להשתמש בפונקציית החלפה לכל אחד ואחד מהמשתנים (שאתה תצטרך לכתוב לבד כי אין מובנית) אם אתה עובד ב ASP. בכל אופן זו לא שאלה במסדי נתונים. ה SQL אמור להכיל רק SQL וזה מה שאתה אמור לדעת. איך אתה מטפל ברעות חולות בשפת התכנות שלך... קשור לתכנות בשפה יותר מאשר למסדי נתונים ושפת SQL (כי הבעייה נכונה לגבי כל משתנה בתוכנת צד השרת שלך, לא רק מה שהולך ל SQL...)

נמאס לכם לזכור סיסמאות? לחצו כאן!