/ Forside / Teknologi / Udvikling / SQL / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
SQL
#NavnPoint
pmbruun 1704
niller 962
fehaar 730
Interkril.. 701
ellebye 510
pawel 510
rpje 405
pete 350
gibson 320
10  smorch 260
[MSSQL] Stored Procedure til validering af~
Fra : Thomas Due


Dato : 25-09-03 12:52

Hej,

Jeg sidder med en web side med login funktionalitet. Jeg kan sikre imod
SQL injection ved at anvende parametre, men jeg kunne egentlig godt
tænke mig at vide hvordan man laver det i en stored procedure.

Det eneste eksempel jeg lige umiddelbart har fundet ser således ud.

CREATE proc sp_ValidateUser
@UserId varchar(20),
@Password varchar(15) ,
@IsValid Int output
as
if (select count(*) from UserData where Userid= @UserId and Password =
@Password ) = 1
select @ISValid = 1
else
select @IsValid = 0 return

Nu kender jeg så godt som intet til stored procedures og Transact-SQL,
men er denne procedure sikret imod SQL injection?

--
Thomas Due
Software Developer
Scanvaegt Nordic A/S

 
 
Peter Lykkegaard (25-09-2003)
Kommentar
Fra : Peter Lykkegaard


Dato : 25-09-03 13:35


"Thomas Due" <t.due@scanvaegt_REMOVE.dk> wrote in message
news:bkuksu$7nn$2@sunsite.dk...
>
> Jeg sidder med en web side med login funktionalitet. Jeg kan sikre imod
> SQL injection ved at anvende parametre, men jeg kunne egentlig godt
> tænke mig at vide hvordan man laver det i en stored procedure.
>
> if (select count(*) from UserData where Userid= @UserId and Password =

Brug denne her i stedet
if exists (select userid from UserData where ...

> Nu kender jeg så godt som intet til stored procedures og Transact-SQL,
> men er denne procedure sikret imod SQL injection?
>
Pøv med et brugernavn ala "1 or 1=1"
Men idet brugernavnet bliver pakket ind i variabel så burde det vel funke?

mvh/Peter Lykkegaard



Thomas Due (25-09-2003)
Kommentar
Fra : Thomas Due


Dato : 25-09-03 14:14

Peter Lykkegaard wrote:

> Brug denne her i stedet
> if exists (select userid from UserData where ...
>
> > Nu kender jeg så godt som intet til stored procedures og
> > Transact-SQL, men er denne procedure sikret imod SQL injection?
> >
> Pøv med et brugernavn ala "1 or 1=1"
> Men idet brugernavnet bliver pakket ind i variabel så burde det vel
> funke?

Ok, det prøver jeg så.

--
Thomas Due
Software Developer
Scanvaegt Nordic A/S

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste