Printable View
سلام وقت دوستان بخیر
یه سوالی به دستم رسیده با این عنوان:
در یک برنامه تحت وب برنامه نویس در صفحه Login نام کاربری و کلمه عبور را به ترتیب در دو Text box با نام های Txt_username و Txt_password دریافت و پس از بررسی در دستور Select زیر، مجوز عبور کاربر را صادر میکند.
چه اشکال امنیتی در این سیستم وجود دارد؟؟؟
برای رفع آن چه باید کرد ؟؟؟
SELECT * FROM users WHERE usrname=txt_usrname.text AND password = txt_password.text
دوستان اگر میتونید راهنمایی کنید ممنون میشم
سلام و روز خوش
جستجو کنین : sql injection
متشکرم بابت راهنمایی شما
راستش سوال به نظر خیلی کلی هست به همین خاطر گفتم بهتره از تجربه دوستان استفاده کنم ببینم که نظر دوستان عزیز چیه
من خودم نظرم همین بود که باید از طریق ایجاد Store Procedure و فراخوانی اون مشکل رو حل کرد
بازم ممنون میشم دوستان اگر نکته و مطلبی به ذهنش میرسه بیان کنه
سلام دوست عزیز.
ببینید اگه این موارد رو به صورت ادد هاک کوئری در سورس زده شده هست مشکل باگ SQL Injection وجود داره و سمت SQL هم هیچ مدیریتی انجام نمیشه و همچنین مشکل بعدی که دوست ما فرمودن پسورد رو بهتر هست که به صورت هش شده ذخیره کنید.
برای مشکل SQL Injection میتونید از پارامتر استفاده کنید ولی بهتره که کوئری های SQL رو به صورت پوسیجر سمت خود SQL بزنید که هم امنیت بالاتری داره هم پرفرمنس.
با تشکر
ابراهیم