Γεια χαρά,

με αρκετο κοπο και ιδρωτα (και την βοηθεια σας φυσικα) καταφερα να φτιαξω την πρωτη έκδοση της προσωπικης μου ιστοσελιδας σε Asp.NET.

Με απασχολεί ομως το θεμα του Sql injection.
Σε αυτο το σημειο θα ηθελα να σας προσκαλεσω - προκαλεσω να κανετε sql injection στην προσωπικη μου ιστοσελιδα και να μου μεταφερετε τις γνωμες σας - αποψεις σας.

Δεν ξερω εαν θεωρηθει διαφημιση απο τους moderators της dotnetzone.gr γι αυτο και δεν αναφερω την ονομασια της ιστοσελιδας μου.
Υπαρχουν ομως και τα Προσωπικα μηνυματα.

Σας ευχαριστώ.

Αν είναι προσωπική ιστοσελίδα και δεν διαφημίζεις έμμεσα ή άμεσα κάτι δεν νομίζω ότι υπάρχει πρόβλημα να αναφέρεις το link εδώ. Άσε που καλό θα ήταν να ενημερώσεις το profile σου με το url της ιστοσελίδας σου.
Όσο για το sql injection αν χρησιμοποίησες parameters στα queries σου δεν έχεις πρόβλημα.

---

Manos

manosB:

Αν είναι προσωπική ιστοσελίδα και δεν διαφημίζεις έμμεσα ή άμεσα κάτι δεν νομίζω ότι υπάρχει πρόβλημα να αναφέρεις το link εδώ. Άσε που καλό θα ήταν να ενημερώσεις το profile σου με το url της ιστοσελίδας σου.
Όσο για το sql injection αν χρησιμοποίησες parameters στα queries σου δεν έχεις πρόβλημα.

Ok then!

kickstart.gr Ενημέρωσα και το profile
Δυστηχώς στα queries δεν χρησιμοποιώ sql paramaters ακόμη...

Καλύτερα να μετατρέψεις πρώτα τα query string σου σε parameterized queries ή stored procedures και μετά να ζητήσεις να δοκιμάσουμε αν συμβαίνε sql injection. Έτσι κι αλλιώς, δεν φαίνεται να δουλεύει το registration για να μπορέσει κανείς να δοκιμάσει να δώσει κάποιο "πειραγμένο" string.

---

Παναγιώτης Καναβός, Freelancer
Twitter: http://www.twitter.com/pkanavos