Конференция VBStreets

[cooler]

Есть некоторый сайт(движок), написанный давно, писался несколькими поколениями программеров... Сейчас за него частично отвечаю я... В нем обнаружили потенциальную опасность SQL-инекции в запросах... Хотелось бы, чтоб более опытные люди поделились советами (кроме переписывания его, т.к. это начальство сильно против)... Ну и суть вопроса вобщем: Можно ли каким-то образом менять request.querystring? Необходимо отфильтровать кавычку... Т.е. не совсем отфильтровать, а поставить еще 1, чтобы SQL-сервер воспринял это как комментарий, в случае попытки атаки...(полностью фильтровать нельзя, т.к. существует множество мест, где кавычка идет как служебный символ... Пытался менять как отпарсенную, так и полностью... но выходит ошибка (( Была идея сделать редирект, но тут возникает проблема зацикливания... В МСДНе не нашел свойств, а в гуглях в осоновном про .net ... (((
Может есть что-то типа raw access к этим переменным?
p.s. также не хотелось бы загонять данные в переменные и менять их там, т.к. это может "всплыть" где-нибудь в другой части движка
ISAPI фильтры тоже как-то мне не по душе..
p.p.s. сорри за большей объем и некоторую несвязность, надеюсь понятно.

[Денис]

На самом деле очень хорошая статья в Википедии на эту тему, очень хорошая, на самом деле, я даже не ожидал...
http://ru.wikipedia.org/wiki/Инъекция_SQL
Там же и пути решения и пути обхода решений и пути обхода обхода решений путей, ох..

[cooler]

На самом деле очень хорошая статья в Википедии на эту тему, очень хорошая, на самом деле, я даже не ожидал...
http://ru.wikipedia.org/wiki/Инъекция_SQL
Там же и пути решения и пути обхода решений и пути обхода обхода решений путей, ох..

Нуу... в принципе я это знаю... но и путь этот тоже, просто как это реализовать на asp? причем так, чтобы изменить сам http заголовок, который парсится и юзается в дальнейшем не в 1 месте...

[ANDLL]

На всякий случай спрошу, интересует ASP или ASP.NET?
В первом случае, вероятно, ничего кроме написание ISAPI посоветовать нельзя.
Денис
Автор, как мне кажется, не спрашивает что такое SQL-инъекция. Он спрашивает, как мне опять же кажется, как универсальным образом пофиксить строки в get-запросе не меняя код страниц

[cooler]

На всякий случай спрошу, интересует ASP или ASP.NET?

Да, именно простой ASP. Возможно, действительно проще будет сделать isapi... надеялся, что asp умеет изменять запросы... похоже, что нет