Pada ASP kita bisa melakukan langkah preventif untuk mencegah Injection.
1. Sebisa mungkin id / primary key dari database berupa angka. Jadi bisa kita cek dengan
code:--------------------------------------------------------------------------------
dim idberita
idberita = Request.QueryString("idberita")
if not isnumeric(idberita) or idberita = "" then
response.redirect("error.asp")
end if
--------------------------------------------------------------------------------
2. replace isi dari querystring jika terdapat tanda kutip atau quote
code:--------------------------------------------------------------------------------
dim strBerita
strBerita = request.querystring("berita")
'jadikan tanda kutip, menjadi 2 tanda kutip
strBerita = replace(strBerita, "'", "''")
strBerita = replace(strBerita, """, """)
--------------------------------------------------------------------------------
3. Gunakan Server.HTMLEncode atau Server.URLEncode.
4. Gunakan Select Case, jika memang ingin sedikit gila.
Semoga bermanfaat
Wednesday, April 23, 2008
SQL Injection?
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment