Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 27/6/2013
Web-programmører kan bruge et gratis open source-værktøj til at undgå SQL-indsætningssårbarheder.SQL-indsætning er en udbredt form for sårbarhed i web-applikationer. Angribere udnytter den ved at indsætte databasekommandoer i søgestrenge og andre input. Hvis systemet er sårbart, bliver kommandoerne sendt til databasen, der udfører dem.
Værktøjet AntiSQLi har form af et bibliotek til .Net og SQL Server. Det fungerer ved, at udvikleren kalder funktioner i biblioteket, når applikationen skal kommunikere med en database.
Biblioteket sikrer, at kun data af de forventede typer kan overføres i forespørgsler. På den måde kan der fx kun overføres et tal, når datatypen er tal dermed skulle det blive vanskeligt for angribere at indlejre SQL-kommandoer i søgestrenge.
Anbefaling
.Net-udviklere bør kigge på AntiSQLi.