SQL INJECTION

13/08/2008 - 19:59 por Javi | Informe spam
Hola a todos,

Tengo una aplicación ASP que se alimenta de una base de datos SQL 2000.
Desde hace unos dias he sido atacado con SQL INJECTION y ahora en la mayoría
de las tablas tengo código que se agregado en forma de script. Al ejecutar la
página se interpreta el código y al mostrarse la información de una tabla da
error por el tema del script, logicamente el antivirus salta indicando que es
un troyano.

Para hacer los insert de las sql utilizo request("variable"), rs("campo"),
session("variable")

¿Me pueden ayudar a solucionar este tema?

Muchas gracias por todo.

Preguntas similare

Leer las respuestas

#1 Jhonny Vargas P.
13/08/2008 - 23:56 | Informe spam
Validando los datos en el Servidor de todos los Request("") si contienen
alguna comilla simple ' o los tag < >

Trata de arreglar las tablas...

Saludos,
Jhonny Vargas P.
Santiago de Chile


"Javi" escribió en el mensaje de
noticias:

Hola a todos,

Tengo una aplicación ASP que se alimenta de una base de datos SQL 2000.
Desde hace unos dias he sido atacado con SQL INJECTION y ahora en la
mayoría
de las tablas tengo código que se agregado en forma de script. Al ejecutar
la
página se interpreta el código y al mostrarse la información de una tabla
da
error por el tema del script, logicamente el antivirus salta indicando que
es
un troyano.

Para hacer los insert de las sql utilizo request("variable"), rs("campo"),
session("variable")

¿Me pueden ayudar a solucionar este tema?

Muchas gracias por todo.
Respuesta Responder a este mensaje
#2 The_law2k
14/08/2008 - 14:11 | Informe spam
On 13 ago, 18:56, "Jhonny Vargas P."
wrote:
Validando los datos en el Servidor de todos los Request("") si contienen
alguna comilla simple ' o los tag < >

Trata de arreglar las tablas...

Saludos,
Jhonny Vargas P.
Santiago de Chile

"Javi" escribió en el mensaje de
noticias:



> Hola a todos,

> Tengo una aplicación ASP que se alimenta de una base de datos SQL 2000.
> Desde hace unos dias he sido atacado con SQL INJECTION y ahora en la
> mayoría
> de las tablas tengo código que se agregado en forma de script. Al ejecutar
> la
> página se interpreta el código y al mostrarse la información de una tabla
> da
> error por el tema del script, logicamente el antivirus salta indicando que
> es
> un troyano.

> Para hacer los insert de las sql utilizo request("variable"), rs("campo"),
> session("variable")

> ¿Me pueden ayudar a solucionar este tema?

> Muchas gracias por todo.



Siempre me quedo la duda si con este codigo ya logro superar los
problemas del SQLInyection

palbus = Replace(palbus, "'", "", 1, -1, 1)
palbus = Replace(palbus, "<", "(", 1, -1, 1)
palbus = Replace(palbus, ">", ")", 1, -1, 1)

Desde ya muchas gracias por responderme así de una vez por todas me
quedo tranquilo
Saludos, Diego
Respuesta Responder a este mensaje
#3 The_law2k
14/08/2008 - 14:11 | Informe spam
On 13 ago, 18:56, "Jhonny Vargas P."
wrote:
Validando los datos en el Servidor de todos los Request("") si contienen
alguna comilla simple ' o los tag < >

Trata de arreglar las tablas...

Saludos,
Jhonny Vargas P.
Santiago de Chile

"Javi" escribió en el mensaje de
noticias:



> Hola a todos,

> Tengo una aplicación ASP que se alimenta de una base de datos SQL 2000.
> Desde hace unos dias he sido atacado con SQL INJECTION y ahora en la
> mayoría
> de las tablas tengo código que se agregado en forma de script. Al ejecutar
> la
> página se interpreta el código y al mostrarse la información de una tabla
> da
> error por el tema del script, logicamente el antivirus salta indicando que
> es
> un troyano.

> Para hacer los insert de las sql utilizo request("variable"), rs("campo"),
> session("variable")

> ¿Me pueden ayudar a solucionar este tema?

> Muchas gracias por todo.



Siempre me quedo la duda si con este codigo ya logro superar los
problemas del SQLInyection

palbus = Replace(palbus, "'", "", 1, -1, 1)
palbus = Replace(palbus, "<", "(", 1, -1, 1)
palbus = Replace(palbus, ">", ")", 1, -1, 1)

Desde ya muchas gracias por responderme así de una vez por todas me
quedo tranquilo
Saludos, Diego
Respuesta Responder a este mensaje
#4 Javi
14/08/2008 - 15:56 | Informe spam
Muchas gracias Jhonny,

SAludos,

"Jhonny Vargas P." wrote:

Validando los datos en el Servidor de todos los Request("") si contienen
alguna comilla simple ' o los tag < >

Trata de arreglar las tablas...

Saludos,
Jhonny Vargas P.
Santiago de Chile


"Javi" escribió en el mensaje de
noticias:
>
> Hola a todos,
>
> Tengo una aplicación ASP que se alimenta de una base de datos SQL 2000.
> Desde hace unos dias he sido atacado con SQL INJECTION y ahora en la
> mayoría
> de las tablas tengo código que se agregado en forma de script. Al ejecutar
> la
> página se interpreta el código y al mostrarse la información de una tabla
> da
> error por el tema del script, logicamente el antivirus salta indicando que
> es
> un troyano.
>
> Para hacer los insert de las sql utilizo request("variable"), rs("campo"),
> session("variable")
>
> ¿Me pueden ayudar a solucionar este tema?
>
> Muchas gracias por todo.


Respuesta Responder a este mensaje
#5 Jhonny Vargas P.
14/08/2008 - 15:56 | Informe spam
Siempre tienes que validar los datos en el servidor (y no solamente en el
cliente)

Por otro lado cuando interactues con la base de datos puedes utilizar el
Command y pasar los parametros con parameters

También puedes revisar el tipo de datos que estás recibiendo, etc...



Saludos,
Jhonny Vargas P.
Santiago de Chile


"The_law2k" escribió en el mensaje de
noticias:
On 13 ago, 18:56, "Jhonny Vargas P."
wrote:
Validando los datos en el Servidor de todos los Request("") si contienen
alguna comilla simple ' o los tag < >

Trata de arreglar las tablas...

Saludos,
Jhonny Vargas P.
Santiago de Chile

"Javi" escribió en el mensaje de
noticias:



> Hola a todos,

> Tengo una aplicación ASP que se alimenta de una base de datos SQL 2000.
> Desde hace unos dias he sido atacado con SQL INJECTION y ahora en la
> mayoría
> de las tablas tengo código que se agregado en forma de script. Al
> ejecutar
> la
> página se interpreta el código y al mostrarse la información de una
> tabla
> da
> error por el tema del script, logicamente el antivirus salta indicando
> que
> es
> un troyano.

> Para hacer los insert de las sql utilizo request("variable"),
> rs("campo"),
> session("variable")

> ¿Me pueden ayudar a solucionar este tema?

> Muchas gracias por todo.



Siempre me quedo la duda si con este codigo ya logro superar los
problemas del SQLInyection

palbus = Replace(palbus, "'", "", 1, -1, 1)
palbus = Replace(palbus, "<", "(", 1, -1, 1)
palbus = Replace(palbus, ">", ")", 1, -1, 1)

Desde ya muchas gracias por responderme así de una vez por todas me
quedo tranquilo
Saludos, Diego
Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida