Questa tecnica di attacco è solitamente praticabile solo quando lo sviluppatore si è dimenticato di effettuare alcuni controlli sulle pagine che accedono ai dati, sopratutto i dati POST.
Questa funzione non fa altro che rimuovere (attraverso la l'istruzione "Replace") quei "caratteri speciali" generalmente usati nelle query ai database.
<% Function CleanStr(sTesto) 'Se non e' una stringa vuota ... If Len(sTesto)>0 Then sTesto = Replace(sTesto,"'","''") stesto = replace(sTesto, "*", "[*]") stesto = replace(sTesto, "%", "[%]") End If CleanStr=sTesto End Function %>
Quindi basterà filtrare i campi dei form prima che vengano passati al DB in questo modo:
<%xxx = CleanStr(Request.Form("yyy"))%>
Alla prossima!
Aggiungi un commento