---

Hej,

Jeg sidder med en web side med login funktionalitet. Jeg kan sikre imod
SQL injection ved at anvende parametre, men jeg kunne egentlig godt
tænke mig at vide hvordan man laver det i en stored procedure.

Det eneste eksempel jeg lige umiddelbart har fundet ser således ud.

CREATE proc sp_ValidateUser
@UserId varchar(20),
@Password varchar(15) ,
@IsValid Int output
as
if (select count(*) from UserData where Userid= @UserId and Password =
@Password ) = 1
select @ISValid = 1
else
select @IsValid = 0 return

Nu kender jeg så godt som intet til stored procedures og Transact-SQL,
men er denne procedure sikret imod SQL injection?

--
Thomas Due
Software Developer
Scanvaegt Nordic A/S

---

"Thomas Due" <t.due@scanvaegt_REMOVE.dk> wrote in message
news:bkuksu$7nn$2@sunsite.dk...
>
> Jeg sidder med en web side med login funktionalitet. Jeg kan sikre imod
> SQL injection ved at anvende parametre, men jeg kunne egentlig godt
> tænke mig at vide hvordan man laver det i en stored procedure.
>
> if (select count(*) from UserData where Userid= @UserId and Password =

Brug denne her i stedet
if exists (select userid from UserData where ...

> Nu kender jeg så godt som intet til stored procedures og Transact-SQL,
> men er denne procedure sikret imod SQL injection?
>
Pøv med et brugernavn ala "1 or 1=1"
Men idet brugernavnet bliver pakket ind i variabel så burde det vel funke?

mvh/Peter Lykkegaard

---

Peter Lykkegaard wrote:

> Brug denne her i stedet
> if exists (select userid from UserData where ...
>
> > Nu kender jeg så godt som intet til stored procedures og
> > Transact-SQL, men er denne procedure sikret imod SQL injection?
> >
> Pøv med et brugernavn ala "1 or 1=1"
> Men idet brugernavnet bliver pakket ind i variabel så burde det vel
> funke?

Ok, det prøver jeg så.

--
Thomas Due
Software Developer
Scanvaegt Nordic A/S