---

Jeg skal i gang med at lave en side som kan indeholde relativt
personlige oplysninger.

Hvad og hvordan sikrer jeg siden bedst når jeg bruger ASP og MySQL
databaser?

Jeg har selvfølgelig alm. bruger/password beskyttelse, men hvordan
sikrer jeg mig mod SQL injections o.l.?

Mvh. Brian

--
Creator of http://www.natart.dk

---

Jeg vil lige fortælle at bruger/password bare gemmes i global.asa. Kan
dette også være et problem?

Mvh. Brian
--
Creator of http://www.natart.dk

---

"Brian B. Christensen" <nej@denneemailerikkedenrigtige.dk> skrev i en
meddelelse news:n15iq21j478vh5suj40o3j9pr612pfipjh@4ax.com...
> Jeg skal i gang med at lave en side som kan indeholde relativt
> personlige oplysninger.
>
> Hvad og hvordan sikrer jeg siden bedst når jeg bruger ASP og MySQL
> databaser?
>
> Jeg har selvfølgelig alm. bruger/password beskyttelse, men hvordan
> sikrer jeg mig mod SQL injections o.l.?

Bange for at personlige oplysninger som højde/vægt o.s.v. kan blive ændret
af uautoriseret
personel ? :P

>
> Mvh. Brian
>
> --
> Creator of http://www.natart.dk

Måske denne artikel kan hjælpe ?
http://www.securiteam.com/securityreviews/5DP0N1P76E.html

Lad være med at samle en sql-streng ?
(som f.eks. "Select * from tabel1 where navn=' "& minVariabel &"' " )

Tilgå db via ADO (brug parametre) ?
http://www.w3schools.com/ado/ado_intro.asp

Hvis du bruger client-side validering på en side, sørg for at den modtagende
side tjekker
om brugeren kommer fra samme domæne (noget med request.servervariables) ?

Få, men enkle ting :)

Med venlig hilsen
Michael Weber

---

On Sat, 13 Jan 2007 23:16:00 +0100, "Michael Weber"
<michael@CAN_YOU_GUESS_WHAT_TO_REMOVE_?_michaelweber.dk> wrote:

>Bange for at personlige oplysninger som højde/vægt o.s.v. kan blive ændret
>af uautoriseret
>personel ? :P

Øh, nej. Det er ikke sådanne personlige oplysninger.

>Måske denne artikel kan hjælpe ?
>http://www.securiteam.com/securityreviews/5DP0N1P76E.html

Den forklarer da lidt.

>Tilgå db via ADO (brug parametre) ?
>http://www.w3schools.com/ado/ado_intro.asp

Her forstår jeg så ikke lige hvad du mener. Kan du evt. henvise til
noget konkret i linket?


Tak for responsen.

Mvh. Brian
--
Creator of http://www.natart.dk

---

"Brian B. Christensen" <nej@denneemailerikkedenrigtige.dk> skrev i en
meddelelse news:idmiq2huq6pnbvp30mm9rvvttftm0is0h2@4ax.com...
> On Sat, 13 Jan 2007 23:16:00 +0100, "Michael Weber"
> <michael@CAN_YOU_GUESS_WHAT_TO_REMOVE_?_michaelweber.dk> wrote:
>
> >Bange for at personlige oplysninger som højde/vægt o.s.v. kan blive
ændret
> >af uautoriseret
> >personel ? :P
>
> Øh, nej. Det er ikke sådanne personlige oplysninger.
>
> >Måske denne artikel kan hjælpe ?
> >http://www.securiteam.com/securityreviews/5DP0N1P76E.html
>
> Den forklarer da lidt.
>
> >Tilgå db via ADO (brug parametre) ?
> >http://www.w3schools.com/ado/ado_intro.asp
>
> Her forstår jeg så ikke lige hvad du mener. Kan du evt. henvise til
> noget konkret i linket?
>
>
> Tak for responsen.
>
> Mvh. Brian
> --
> Creator of http://www.natart.dk

Her er et eksempel ( kopier og gem som asp ) :
http://michaelweber.dk/test/sql_injection_test.txt
databasen (zippet access-db ) er her :
http://michaelweber.dk/test/data.zip

Pointen er :
1) Instantier et Command Objekt :
Set command= Server.CreateObject( "ADODB.Command" )

2) Instantier parametre, der skal sendes med Command-objektet :
command.Parameters.Append command.CreateParameter( "Brugernavn" ,
adVarchar , , 255 , adParamInput )
command( "Brugernavn" ) = "mit brugernavn"

På den måde pakker du indput ind i parametre og undgår f.eks. tegnet -> '
<-.

Prøv at leg med ovenstående eksempel og kig på
http://www.w3schools.com/ado/
under ADO Objects ( Command, Connection , DataTypes og Parameter ).

Med venlig hilsen
Michael Weber