MS SQL Server
  1. MS SQL Server
  3. MS SQL Query est-ce sûr?
Intereting Posts
Paramètre de date de procédure stockée ne fonctionnant pas avec la dissortingbution Avoir de la difficulté à convertir SQL en LINQ lors de l'utilisation d'une jointure sur une instruction select Logiciel en tant que service – Base de données Si je choisis RavenDB, quels sont les avantages de SQL Server que je perds? Requête SQL pour convertir nvarchar en int SQL Server: requête pour l'obtention de produits à partir d'une hiérarchie de catégories nestedes string de connection dynamic à l'aide de la bibliothèque d'entreprise 5 Conversion de varchar en datetime2 dans SQL Server Déclencheur SQL Server: l'identificateur en plusieurs parties n'a pas pu être lié Renvoie false lorsque j'ai un logging identique dans la database en utilisant C # SQL – Suivi des ventes mensuelles SQL Server: openquery insert server lié Une erreur générique s'est produite dans GDI + lors de la sauvegarde de l'image avec jpeg Procédure stockée du server SQL entre une instruction Mise en œuvre du commentaire le plus récent – SQL Server

MS SQL Query est-ce sûr?

Je ne suis pas expérimenté avec ce genre de choses donc je voudrais juste requestr si je devais utiliser le code ci-dessous serai-je à l'abri d'une attaque MS SQL Injection / quelque chose comme ça? 

' OPEN DATABASE dim objConn,objRS,objTRS,objUnit Set objConn = Server.CreateObject("ADODB.Command") objConn.ActiveConnection = "Driver={SQL Server};Server=MSSQLSrv;Database=DbTest;UID=blablabala;PWD=blablabala" strQuery = "SELECT USERNAME,PASSWORD from CUSTOMERS where EMAIL=?" objConn.CommandText=strQuery objConn.Parameters(0) = Request.QuerySsortingng("email") SET objRS = objConn.execute(strQuery)

En utilisant le paramétrage, vous protégez de l'injection SQL.

Mais vous ne protégez pas contre les attaques de script intersite.

En outre, vous devez hacher votre mot de passe user dans la database et vérifier la correspondance avec le hachage plutôt que de le stocker en text brut.

En outre, en autorisant le site Web à effectuer une select sur la table clients, vos données sont particulièrement sécurisées. Si votre server Web est compromis, vos données le sont également. Une façon de réduire cette vulnérabilité consiste à utiliser des procédures stockées plutôt que du code SQL brut dans votre code.

(Et pour votre santé mentale et votre employabilité future, vous voudrez peut-être passer de l'ASP classique à .Net :))