sql inyection

tico74 · #1 (**permalink**) 31/07/2008, 12:10

Hola gente,estoy usando este codigo para contrarestar SQL inyection y me gustaria me dieran vuestra opinion, o bien si tienen algun otro codigo mas optimo. Este lo use con exito en varias webs pero en una entraron aunque verifique faltaba ponerlo en dos paginas y estimo sera por eso.

en cada pagina:

Cita:

If IllegalChars(elid)=True Then
Response.redirect("index.asp")
End If

la funcion:

Cita:

'Function IllegalChars to guard against SQL injection
Function IllegalChars(sInput)
'Declare variables
Dim sBadChars, iCounter
'Set IllegalChars to False
IllegalChars=False
'Create an array of illegal characters and words
sBadChars=array("select","update", "drop", ";", "--", "insert", "delete", "xp_", _
"#", "%", "&", "'", "(", ")", "/", "\", ":", ";", "<", ">", "=", "[", "]", "?", "`", "|")
'Loop through array sBadChars using our counter & UBound function
For iCounter = 0 to uBound(sBadChars)
'Use Function Instr to check presence of illegal character in our variable
If Instr(sInput,sBadChars(iCounter))>0 Then
IllegalChars=True
End If
Next
End function

Gracias por cualquier idea desde ya!

Muzztein · #2 (**permalink**) 31/07/2008, 14:50

Me parece que la funcion esta muy bien programada.
Pero por otro lado creo que la cantidad de caracteres ilegales es demasiada y atenta con el contenido que la gente pudiera intentar subir a la basa de datos.

Tanto como select,update,delete,etc son palabras que cualquiera pudiera usar.
Ahora bien, si lo estas usando para un LOGIN, me parece muy acertado. De todas maneras, todo esto del SQL inyection se ve muy aminorado si se hace un buen tratamiento de los errores.
de esa manera se minimiza la informacion que pudiera entregar el servidor si es que este se cae en alguna ejecuccion.