Il tema è ormai veeeeecchio come il Mondo, ma necessita ancora di una grande attenzione, in quanto non tutti si sono ancora convinti di quanto sia semplice sfondare un sito tramite SQL Injection.
La cosa triste è che per proteggersi dalla SQL Injection bastano 3 semplice regole:
1) MAI usare l'account sa o cmq un account sysadmin come accout di autenticazione dell'applicazione web verso sql.
2) MAI creare il codice SQL concatenando comandi e valori inseriti dagli utenti, ma utilizzare sempre query parametriche. Meglio ancora, usate solamente Stored Procedure se potete.
3) MAI dare ad un account permessi più elevati del minimo necessario.
Se pensate che mi stia dimenticando la validaazione.....avete ragione, ma questa da sola non basta, sopratutto se è fatta solo lato client.
Investite 3 minuti del vostro tempo nella visione di questo video:
http://uk.youtube.com/watch?v=MJNJjh4jORY
e condividetelo con tutti!