Skadlig kod på sidan jag gjort

Jag gissar att problemet är SQL injection. Vem som helst kan gå in och ändra via admin-gränssnittet och därifrån köra med lite script.

kör med en connector som fixar parametrar så slipper du sql injection

Är det du själv eller nån som roat sig med din sida? http://www.untersteiner.nu/hast.asp?id=420

http://www.untersteiner.nu/hast.asp?id=421 är inte helt dålig häller.

Ja, det är en sql injection du har.. Stäng av admin-inlogget (och alla andra ställen där du tar in input från användaren och på något vis använder i en sql-fråga) direkt skulle jag säga så det inte händer mer saker.

Kolla t ex över en förfrågan som http://www.untersteiner.nu/hast.asp?id=421%20OR%201=1; (id=421 OR 1=1), tänk ut varför det blir som det blir och fixa det.

Förresten: Låt inte det här försigå, speciellt om där är skadlig kod. Ta ner sidan, begränsa åtkomst till ditt IP eller ställ åtminstone in lösenordsskydd i webbservern.

Det blir ju inte bättre med id-numren om man säger så...
http://www.untersteiner.nu/hast.asp?id=422
http://www.untersteiner.nu/hast.asp?id=423

Anyway, fixa SQL-injectionsen du har på admin-interfacet. Vet inte hur det är med asp men i php finns det funktioner som hjälper till med det.

'

Haha! Den där var bra!

Verkar fortfarande inte vara någon som vill hjälpa grabben med ett vettigt svar. Det du råkat ut för är att du låter folk egentligen skriva vad de vill i dina forumlär utan att kontrollera data innan du kör dina databasanrop.

Detta gör att man kan injecera skadlig kod i dina databasanrop så kallade sql injections. På den här sidan kan du läsa mer om sql injections i samband med asp http://www.sitepoint.com/article/sql-injection-attacks-safe.

Enklaste sättet att säkra upp sidan är att alltid kontrollera vad användaren skriver in innan du kör databasanropen. Det kan vara en så enkel sak som att köra en isNumeric på fält som du vet alltid ska innehålla tal. Annars är det vanligt i asp att man skapar funktioner som tar bort de skadliga delarna i formulärdatat innan man anropar databasen.

Rensa bort escape characters. Den här funktionen brukar räcka långt för att förhindra sql injections

function stripQuotes(strWords) 
     stripQuotes = replace(strWords, "'", "''") 
end function

Lägg den i toppen på din sida och varje gång du anropar forumlärdata som ska användas till förfrågningar till databasen kör du

Dim strUserName, strSQL
strUserName = stripQuotes(Request.Form("username"))
strSQL = "SELECT blabla FROM tblBlabla WHERE username='" & strUserName &"'"

Man kan även gå steget längre och göra en funktion som tar bort "farliga" ord från datat en enkel sådan funktion finns med på sidan 5 i länken ovanför.

Det är off-topic, men den här särskrivningen gjorde bara för ont.

Börjar man skriva egna metoder för sql paramterar är man fel ute.
Som jag sade ovan, använd en connector som stödjer sql parametrar.

Jag skriver det i C# då det var länge sedan jag pyssla med Vb6

string sql = "SELECT * FROM users WHERE userName=@userName";
cmd.Parameters.Add("@userName", SqlType.VarChar).Value = userName;

Om du använder php bör intval() räcka för att oskadliggöra sql-injektioner.

http://se.php.net/manual/sv/function.mysql-escape-string.php

Sen använder han ASP.

Här är ett inlägg som verkar visa hur det som CyberVillain pratar om fungerar i asp:
http://groups.google.com/group/microsoft.public.inetserver.as...