Perigo no meu SQLserver 2008
18/05/2012
0
Olá galera
Meu site estava no ar e rodando redondo até que descobri que ele esta vulnerável a ataque de sql injection.
Criei um novo usuário e dei permissão para inserir e atualizar apenas as tabelas de AspNet como AspNet _Users e outras para as demais apenas um select por hora. Acontece que tenha muitas procudures que retornan um select e se negar acesso não roda nada. Por outro lado habilitando o execute possibilita rodar todas as procedures que são mais de 300.
Alguém saberia me dizer como permitir apenas procedures que retornam um select ?
Meu site estava no ar e rodando redondo até que descobri que ele esta vulnerável a ataque de sql injection.
Criei um novo usuário e dei permissão para inserir e atualizar apenas as tabelas de AspNet como AspNet _Users e outras para as demais apenas um select por hora. Acontece que tenha muitas procudures que retornan um select e se negar acesso não roda nada. Por outro lado habilitando o execute possibilita rodar todas as procedures que são mais de 300.
Alguém saberia me dizer como permitir apenas procedures que retornam um select ?
Carlos Faria
Curtir tópico
+ 0
Responder
Posts
06/06/2012
Cesar Roniglei
Boa tarde,
Você pode criar um Login no sql server, e definir na propriedade de suas procedures este novo login para execução, e fazer a conexao do seu site utilizando este novo login, creio que isso resolverá seu problema.
Na questão do SQL Inject, se vc utilizar parametros para receber o conteudo do usuario, não havera possibilidade do sql inject funcionar.
Qualquer duvida estou a disposição.
__________________________________________________________________
César Roniglei
TI - Tecnologia da Informação
Skype: cesar.roniglei
__________________________________________________________________
Você pode criar um Login no sql server, e definir na propriedade de suas procedures este novo login para execução, e fazer a conexao do seu site utilizando este novo login, creio que isso resolverá seu problema.
Na questão do SQL Inject, se vc utilizar parametros para receber o conteudo do usuario, não havera possibilidade do sql inject funcionar.
Qualquer duvida estou a disposição.
__________________________________________________________________
César Roniglei
TI - Tecnologia da Informação
Skype: cesar.roniglei
__________________________________________________________________
Responder
Clique aqui para fazer login e interagir na Comunidade :)