R: SQL injection

Una cosa facile facile per evitare il SQL injection è di fare un escape lato
cliente della stringa da concatenare alla SQL, sw che lo fanno in automatico non
ne conosco.

Ciao

Domenico Briganti
AGS - Advanced Global Solution
C5 Consultant 
> -----Messaggio originale-----
> Da: Fabrizio Ermini [mailto:fabrizio.ermini@xxxxxxxxx]
> Inviato: martedì 27 aprile 2004 10.05
> A: ml@xxxxxxxxxxxxx
> Cc: fabio@xxxxxxxxxxx
> Oggetto: Rif: SQL injection
> 
> 
> 
> 
> 
> premesso che in azienda abbiamo 2 server per clienti di fascia bassa(un www
> 
> ed SQL server entrambi M$) come potrei prevenire la SQL injection?
> Ho riscontrato che se un sito risulta vulnerabile anche utilizzando il tool
> 
> IISLockdown  comunque il sito rimarra' vulnerabile...
> Premesso che non posso controllare tutte le pagine asp (se ci fosse qlc che
> 
> lo fa' sarei un uomo felice...) esiste qualche tipo di implementazione che
> mi salvi da attacchi di quel tipo????
> 
> ----
> 
> Sì, puoi mettere un layer di proxying tra il web server e il "resto del
> mondo cattivo" con su sopra un sistema che intercetti e blocchi richieste
> web "sospette" sulla base di signatures note (in genere una soluzione così
> fatta viene chiamata "firewall applicativo"). Questo pero' te lo consiglio
> solo se un'audit del codice del software non è fattibile per ragioni
> tecniche o economiche: ovviamente è meglio avere un'applicazione sicura in
> partenza piuttosto che cercare di pararsi a posteriori...
> 
> bye,
> Fabrizio
> 
> 
> 
> 
> 
> 
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List

Attachment: smime.p7s
Description: S/MIME cryptographic signature