Лучший способ отыскать дефекты — это найти вторую пару глаз для поиска. Попросите товарища по команде, знакомого с рисками инъекции SQL-кода, помочь вам проверить код. Не позволяйте своей гордости или самолюбию препятствовать вам делать правильные вещи — лучше смутиться сейчас пропущенной ошибке в коде, чем позже нести ответственность за трещину в безопасности, позволившую злоумышленникам взломать ваш веб-сайт.
Сэкономить рабочее время и существенно увеличить производительность поможет http://purm-vanita.ru/plazmennaya_rezka_metalla..
Во время проверки на риск внедрения SQL-кода используйте следующие рекомендации.
1. Найдите SQL-операторы, сформированные с использованием переменных приложения, конкатенацией или заменой строк.
2. Проследите начало всего динамического контента, используемого в SQL-операторах. Найдите все данные, которые исходят из внешнего источника, например пользовательский ввод, файлы, среды, веб-сервисы, сторонний код или даже строки, выбранные из базы данных.
3. Предположите, что весь внешний контент несет потенциальную опасность. Используйте фильтры, контрольные устройства и отображение массивов, чтобы преобразовать ненадежный контент.
4. Объедините внешние данные в свои SQL-операторы, используя параметры запроса или устойчивые escape-функции.
5. Не забывайте просматривать хранимые процедуры и другие места, где могут находиться динамические SQL-операторы.
Опубликовал vovan666
Август 17 2013 14:40:51 ·
0 Комментариев ·
3255 Прочтений ·
• Не нашли ответ на свой вопрос? Тогда задайте вопрос в комментариях или на форуме! •
Комментарии
Нет комментариев.
Добавить комментарий
Рейтинги
Рейтинг доступен только для пользователей.
Пожалуйста, залогиньтесь или зарегистрируйтесь для голосования.
Нет данных для оценки.
Гость
Вы не зарегистрированны? Нажмите здесь для регистрации.
Главная
Каталог файлов
