Hallo allemaal,

Ik heb een kleine website (www scvink .nl) voor een lokaal snooker centrum hier en vanmorgen zag ik opeens in de guestbook een soort sql injection.

Ik gebruik sql 2005 express en dacht dat sql injection toch al een beetje ouderwets is, maar kennelijk werkt het nog steeds!?!?

Wie o wie kan mij helpen cq aangeven hoe dit gedaan is. Hij heeft ook velden kunnen aanpassen die niet geupdate worden in het guestbook script.

Alvast heel bedankt!!!

Groetjes,

Derck

Zolang jij de input niet filter of op een andere manier zorgt dat verkeerde input zo direct in de code terecht komt kan er van alles gebeuren, daar doet geen enkel RDBMS iets mee.

De meest eenvoudige (en snellere) manier om dit op te lossen is gebruik van prepared statements, in SQL server zou je dit met stored procedures kunnen oplossen. Dan vul je alleen de waardes in bij parameters, de sql server zelf doet dan een eventuele conversie en input filtering.

AHA, ok.. Thnx. Moet ik alles omzetten naar SP. Er zijn ook vast wel asp routine's die dat doen.. Zal eens zoeken..

Maar vroeger kon je dat makkelijk doen met -- enz

Hoe doen ze dat nou dan?

Het is heel makkelijk als inputstrings niet gefiltered worden kan je volledige sql statements uitvoeren.

Maar speciaal voor jou heeft Microsoft een tooltje uitgebracht:

TIP: http://support.microsoft.com/kb/954476

Aaaa! thnx.. ik zal eens ff loeren op die page!