2008-07-24

SQL Injection

Eu estava lendo sobre este assunto no post SQL Injection Hack using CAST from 1.verynx.cn, e por isto estou disponibilizando esta customtag que pode enviar alertas por e-mail e gravar log, seu uso é muito simples, veja algumas variações.

Bloqueia e grava em log:
<cf_DisableSQLInjection>

Bloqueia,grava em log e envia e-mail:
<cf_DisableSQLInjection mailto="e-mail,e-mail,e-mail,e-mail">
or
<cf_DisableSQLInjection mailto="e-mail,e-mail,e-mail,e-mail" mailfrom="mail">

Bloqueia,grava em log, envia e-mail e adiciona um titulo customizado:
<cf_DisableSQLInjection mailto="e-mail" mailfrom="mail" title="Erro 404" >

Bloqueia,grava em log, envia e-mail, titulo customizado e adiciona mensagem html na pagina:
<cf_DisableSQLInjection mailto="e-mail" mailfrom="mail" title="Erro 404" message="<h3>Erro 404 - page not found</h3>" >

Bloqueia,grava em log, envia e-mail, titulo customizado, mensagem html e incrementa a lista negra de palavras reservadas:
<cf_DisableSQLInjection mailto="e-mail" mailfrom="mail" title="Erro 404" message="<h3>Erro 404 - page not found</h3>" keywords="print|union" >


Dê a preferência ao uso no nos Application.(cfm|cfc)

customtag

2 comentários:

Tofinha disse...

Grande Pedrão!!!

Excelente CT meu brother!

parabéns por compartilhar coma comunidade, rincipalmente devido a estes ultimos dias!!!

Vou linkar no meu blog!!

Abs

Anônimo disse...

Hello
Your cfm is really cool, thx.
But i've a problem as i use ajax with cfc calls, and it's considered as sql injection.
I can't find where to modify your cfm to allow ajax calls.
Can you help me, please ?
TIA
Christian