Tema: Re: HELP SQL
Autorius: IF
Data: 2010-01-26 08:32:04
Teisingai pastebeta 'zalingi' simboliai tikrinami tekstiniam ivedimo lauke o 
pacioje uzklausoje, bet pagal viska pacia sia uzklausa bandoma kazkur 
integruoti ;)
"CGI 600" <nespamink@spamas.lt> wrote in message 
news:hjkptj$hpf$1@trimpas.omnitel.net...
> Daryk nuo pradziu viska gerai, o tada bandyk injectiona grusti
>
> Jornada Del Muerto wrote:
>>>> EXEC ('SELECT ContactID,
>>>>    FirstName,
>>>>    LastName
>>>>  FROM '+ @LentelePavadinimas + '
>>>>  WHERE LastName = ' + @LastName + '
>>>>  ORDER BY Contact
>>>>      )
>>
>>     Si procedura daro SQL injection - jei paleidineji proceduroje SQL 
>> teksta, tada issaugojant procedura SQL serveriui visiskai vienodai kas 
>> tas tekstas ir taip gali bandyt paleist absoliuciai bet koki teksta kaip 
>> SQL ir privelti kokiu tik nori klaidu kode, kitaip sakant kam tada is 
>> viso proceduros, duok tiesiog uzklausa.
>>
>>     Lenteles taip paprastai kaip kokio kintamojo MSSQL ideti neina i 
>> paprasta T-SQL select'a, bet yra user defined functions: 
>> http://msdn.microsoft.com/en-us/library/ms186755.aspx is ju gal sudomins 
>> table valued functions, tai funkcijos galincios grazinti lentele:
>>
>> CREATE FUNCTION ManoFunkcija
>> ( @id int )
>> RETURNS TABLE
>> AS
>> RETURN
>> (
>>  SELECT @id
>> )
>> GO
>>
>>
>> Gal ka naudingo rasi arba bent jau is proceduru injekcija iskelsi i 
>> funkcijas.