Array
(
)

Perigo no meu SQLserver 2008

Regis
   - 18 mai 2012

Olá galera
Meu site estava no ar e rodando redondo até que descobri que ele esta vulnerável a ataque de sql injection.
Criei um novo usuário e dei permissão para inserir e atualizar apenas as tabelas de AspNet como AspNet _Users e outras para as demais apenas um select por hora. Acontece que tenha muitas procudures que retornan um select e se negar acesso não roda nada. Por outro lado habilitando o execute possibilita rodar todas as procedures que são mais de 300.
Alguém saberia me dizer como permitir apenas procedures que retornam um select ?

Cesar Roniglei
   - 06 jun 2012

Boa tarde,

Você pode criar um Login no sql server, e definir na propriedade de suas procedures este novo login para execução, e fazer a conexao do seu site utilizando este novo login, creio que isso resolverá seu problema.

Na questão do SQL Inject, se vc utilizar parametros para receber o conteudo do usuario, não havera possibilidade do sql inject funcionar.

Qualquer duvida estou a disposição.

__________________________________________________________________
César Roniglei
TI - Tecnologia da Informação

Skype: cesar.roniglei
__________________________________________________________________