Debat
|
Det lyder til at det er præcis det problem han er løbet i, ikke mindst når du skriver det vender tilbage, når han ændrede passwordet tilbage. Mvh. Jens |
|
Jep, passwordet er nu ændret igen og alle filer er tjekket, så jeg tror også dette er løsningen. Der er to af de røde på vej :-) |
|
Takker mange gange - de er ankommet :-) |
|
Det er mig der takker, håber de smager godt :o) |
|
Oxkjær - jeg laver også selv en del i klassisk ASP og har selv været ude for noget af det samme. Og det VAR SQL injections! Det du skal skynde dig at gøre er, at sørge for at ALLE input bliver renset. Der må IKKE slippe karakterer igennem, som kan misbruges til injections. Der er mange måder du kan gøre det på - mere eller mindre omfattende, men bare det at fjerne alle de mest almindelige tegn, der misbruges (som ' < > osv) kan du stoppe mange hacker forsøg. Gør det i dag! (hvis du ikke allerede har gjort det :)) Med "input" er det iøvrigt vigtigt at huske, at jeg mener ALLE input! Ikke bare almindelige formularer og den slags - også cookies, session varianler osv. ALT! Du må ikke eksekvere noget som helst på serveren, uden at du er HELT sikker på, der ikke er sluppet injections med!! :) |
|
En anden vigtig ting er at have en backup af koden, som hurtigt kan installeres på sitet! Jeg taler af erfaring. Uanset hvor striks man er med input-kontrol osv. kan der altig være et sikkerhedshul på serveren der kan udnyttes. Så hvis du sørger for at have løbende backup af din database, og har mulighed for at geninstallere dit site, så er du hurtigt oppe af køre igen efter det næste angreb. |
|
Jeg mener selv min kode er rimelig sikret mod SQL injections, men den bliver naturligvis gennemgået med en tættekam :-) Jeg har naturligvis altid en ren backup af både filer og database, så på det punkt er jeg rimelig rolig :-) |
|
Renser du også input fra Cookies (hvis det bruges)? :) - Det er der mange der glemmer og det var da også først for nyligt, at jeg selv blev opmærksom på, at man jo også den vej kan snige kode ind, hvis der altså er nogle steder hvor cookie data anvendes i server eksekveringer. En cookie er jo ligeså let at ændre i som en URL. |
|
Det skulle jeg mene, men som skrevet, så går jeg det hele igennem igen :-) Normalt bruger jeg en funktion til at replace ulovlige tegn fra formular felter, querystrings og cookies - er der andre ting? Jeg fjerner eller replacer: ' (pling)
|
|
Ja, det er nogenlunde det samme jeg gør :) En lidt mere sikker metode er en possitiv liste - gerne for hvert enkelt felt, i stedet for filtre. Men det er lidt mere omstændigt at sætte op synes jeg. |
Bliv gratis medlem
Opret bruger