Создание фильтра иньекций / ASP.NET

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / ASP.NET [игнор отключен] [закрыт для гостей] / Создание фильтра иньекций

25 сообщений из 155, страница 1 из 7

все

Создание фильтра иньекций

#37845013

glaznoy

Участник

Сообщения: 41

Рейтинг: 0 / 0

Здравствуйте

Подскажите пожалуйста - как правильно создаются фильтры против скриптов и SQL иньекций?
Почитал, если использовать через ADO.NET параметрические запросы - то инъекция точно не полусится, это так?

...

Рейтинг:

0 / 0

19.06.2012, 18:04

| Ответить | Цитировать | Написать

Создание фильтра иньекций

#37845089

OracleLover

Участник

Откуда: Россия, Казань

Сообщения: 20 898

Рейтинг: 0 / 0

glaznoy
Почитал, если использовать через ADO.NET параметрические запросы - то инъекция точно не полусится, это так?

Здаров, угу.

...

Рейтинг:

0 / 0

19.06.2012, 18:43

| Ответить | Цитировать | Написать

Создание фильтра иньекций

#37845094

brainproof

Участник

Сообщения: 137

Рейтинг: 0 / 0

против яваскриптов это называется xss ..юзай UrlDecode/Encode или библу AntiXSS
по Sql да - параметрами защищаеш

...

Рейтинг:

0 / 0

19.06.2012, 18:46

| Ответить | Цитировать | Написать

Создание фильтра иньекций

#37845161

bazile

Участник

Сообщения: 3 121

Рейтинг: 0 / 0

glaznoyПочитал, если использовать через ADO.NET параметрические запросы - то инъекция точно не полусится, это так?
Да, при условии что внутри SQL кода значение параметра не используется для формирования динамеского SQL-я. Например так:

Код: sql

1.
2.
3.
4.

CREATE PROC DontDoLikeThat
	@s nvarchar(1000)
AS
EXEC sp_executesql @s

Несмотря на использование параметров данная процедура уязвима к SQL Injection атакам.

...

Рейтинг:

0 / 0

19.06.2012, 19:27

| Ответить | Цитировать | Написать

Создание фильтра иньекций

#37845172

glaznoy

Участник

Сообщения: 41

Рейтинг: 0 / 0

То есть, если в каждом запросе испольщовать что то типа такого, то "иньекции не пройдут"?

Код: c#

1.
2.
3.
4.
5.
6.

SqlConnection conn = new SqlConnection(_connectionString);
conn.Open();
string s = "SELECT id, name FROM members WHERE name = @name";
SqlCommand cmd = new SqlCommand(s);
cmd.Parameters.Add("@name", name);
SqlDataReader reader = cmd.ExecuteReader();

...

Рейтинг:

0 / 0

19.06.2012, 19:33

| Ответить | Цитировать | Написать

Создание фильтра иньекций

#37845198

SanSYS

Участник

Сообщения: 1 908

Рейтинг: 0 / 0

glaznoy, немного оффтопа - используй AddWithValue
а по сабжу - да, так не пройдут. ты профайлером/аналайзером посмотри как этот запрос выполняется

...

Рейтинг:

0 / 0

19.06.2012, 20:11

| Ответить | Цитировать | Написать

Создание фильтра иньекций

#37845203

МСУ

Участник

Откуда: http://codearticles.ru

Сообщения: 33 530

Рейтинг: 0 / 0

Автор, кури ORM и забудь про все проблемы.

...

Рейтинг:

0 / 0

19.06.2012, 20:20

| Ответить | Цитировать | Написать

Создание фильтра иньекций

#37845209

ShSerge

Участник

Откуда: ʚонɔ dиw

Сообщения: 24 440

Рейтинг: 0 / 0

glaznoyЗдравствуйте

Подскажите пожалуйста - как правильно создаются фильтры против скриптов и SQL иньекций?
Почитал, если использовать через ADO.NET параметрические запросы - то инъекция точно не полусится, это так?
Просто надо использовать х-ые процедуры или функции (всегда и везде), ну и передавать им параметры.

...

Рейтинг:

0 / 0

19.06.2012, 20:25

| Ответить | Цитировать | Написать

Создание фильтра иньекций

#37845212

ShSerge

Участник

Откуда: ʚонɔ dиw

Сообщения: 24 440

Рейтинг: 0 / 0

МСУАвтор, кури ORM и забудь про все проблемы.
Здесь кто-то про ОРМ спрашивал? Сам кури.

...

Рейтинг:

0 / 0

19.06.2012, 20:26

| Ответить | Цитировать | Написать

Создание фильтра иньекций

#37845219

МСУ

Участник

Откуда: http://codearticles.ru

Сообщения: 33 530

Рейтинг: 0 / 0

ShSergeМСУАвтор, кури ORM и забудь про все проблемы.
Здесь кто-то про ОРМ спрашивал? Сам кури.
Если не видишь прямой зависимости орм и сиквел инъекций - в сад, доучиваться. Там детишки расскажут и покажут.

...

Рейтинг:

0 / 0

19.06.2012, 20:34

| Ответить | Цитировать | Написать

Создание фильтра иньекций

#37845220

Random_Goodman

Участник

Сообщения: 3 143

Рейтинг: 0 / 0

Есть встроенные в платформу, MSDN на повод sql-injectuins

...

Рейтинг:

0 / 0

19.06.2012, 20:34

| Ответить | Цитировать | Написать

Создание фильтра иньекций

#37845221

ShSerge

Участник

Откуда: ʚонɔ dиw

Сообщения: 24 440

Рейтинг: 0 / 0

МСУ,

Однако, я ответил на вопрос, а ты - нет.

...

Рейтинг:

0 / 0

19.06.2012, 20:36

| Ответить | Цитировать | Написать

Создание фильтра иньекций

#37845227

МСУ

Участник

Откуда: http://codearticles.ru

Сообщения: 33 530

Рейтинг: 0 / 0

ShSergeМСУ,

Однако, я ответил на вопрос, а ты - нет.
Твой ответ убог, как и твои знания по орм. При использовании орм инъекция невозможна.
Советы плодить хранимые процедуры на каждый чих, забивая гвоздь в расширяемость и поддержку, оставь первокурсникам.

...

Рейтинг:

0 / 0

19.06.2012, 20:40

| Ответить | Цитировать | Написать

Создание фильтра иньекций

#37845244

SanSYS

Участник

Сообщения: 1 908

Рейтинг: 0 / 0

МСУАвтор, кури ORM и забудь про все проблемы.
Из огня да в полымя прям засылаете
А вообще - да, конечно проще положиться на орээмы на первых парах

...

Рейтинг:

0 / 0

19.06.2012, 20:56

| Ответить | Цитировать | Написать

Создание фильтра иньекций

#37845246

Random_Goodman

Участник

Сообщения: 3 143

Рейтинг: 0 / 0

glaznoyТо есть, если в каждом запросе испольщовать что то типа такого, то "иньекции не пройдут"?

Код: c#

1.
2.
3.
4.
5.
6.

SqlConnection conn = new SqlConnection(_connectionString);
conn.Open();
string s = "SELECT id, name FROM members WHERE name = @name";
SqlCommand cmd = new SqlCommand(s);
cmd.Parameters.Add("@name", name);
SqlDataReader reader = cmd.ExecuteReader();

В данном запросе - нет.

...

Рейтинг:

0 / 0

19.06.2012, 21:00

| Ответить | Цитировать | Написать

Создание фильтра иньекций

#37845250

МСУ

Участник

Откуда: http://codearticles.ru

Сообщения: 33 530

Рейтинг: 0 / 0

SanSYSпроще положиться на орээмы на первых парах
SanSYS, на них нужно ложиться всегда. Первый пар - это как-раз ковыряние в датасетах с унылым SqlCommand.

...

Рейтинг:

0 / 0

19.06.2012, 21:02

| Ответить | Цитировать | Написать

Создание фильтра иньекций

#37845252

OracleLover

Участник

Откуда: Россия, Казань

Сообщения: 20 898

Рейтинг: 0 / 0

SanSYSМСУАвтор, кури ORM и забудь про все проблемы.
Из огня да в полымя прям засылаете
А вообще - да, конечно проще положиться на орээмы на первых парах

как раз таки на первых порах говнокодят подобных монстров из стартпоста

...

Рейтинг:

0 / 0

19.06.2012, 21:06

| Ответить | Цитировать | Написать

Создание фильтра иньекций

#37845258

МСУ

Участник

Откуда: http://codearticles.ru

Сообщения: 33 530

Рейтинг: 0 / 0

Уже как 2 недели доступен Microsoft Entity Framework 5 , прогресс не стоит на месте. А Серж до сих пор в датасетах с SqlCommand ковыряется, вызывая хранимые процедуры на каждый пук

...

Рейтинг:

0 / 0

19.06.2012, 21:17

| Ответить | Цитировать | Написать

Создание фильтра иньекций

#37845268

Уже как 2 недели

Гость

МСУУже как 2 недели доступен Microsoft Entity Framework 5 , прогресс не стоит на месте. А Серж до сих пор в датасетах с SqlCommand ковыряется, вызывая хранимые процедуры на каждый пук

Они каждый месяц EF релизят, никак допилить не могут.
Так что, да, пока будем "ковыряться в датасетах"

...

Рейтинг:

0 / 0

19.06.2012, 21:29

| Ответить | Цитировать | Написать

Создание фильтра иньекций

#37845271

Database.DbDatabase

Гость

System.Data.Entity. Database.DbDatabase

улыбнуло :)

...

Рейтинг:

0 / 0

19.06.2012, 21:35

| Ответить | Цитировать | Написать

Создание фильтра иньекций

#37845281

МСУ

Участник

Откуда: http://codearticles.ru

Сообщения: 33 530

Рейтинг: 0 / 0

Уже как 2 неделиОни каждый месяц EF релизят, никак допилить не могут.
Так это CTP, пусть релизят. Я ж тебе не говорю использовать это, просто читай, ознакамливайся с новыми фичами.

Уже как 2 неделиТак что, да, пока будем "ковыряться в датасетах"
Ковыряйся. А я буду EF 4.0 / NHibernate / L2S юзать, как все нормальные люди.

...

Рейтинг:

0 / 0

19.06.2012, 21:46

| Ответить | Цитировать | Написать

Создание фильтра иньекций

#37845289

просто читай, ознакамливайся

Гость

МСУКовыряйся. А я буду EF 4.0 / NHibernate / L2S юзать, как все нормальные люди.

На счет L2S я не спорю, хорошая фича. L2Xml вообще, выше всяких похвал.
А вот EF, уж простите, унылое говно.

...

Рейтинг:

0 / 0

19.06.2012, 21:59

| Ответить | Цитировать | Написать

Создание фильтра иньекций

#37845292

МСУ

Участник

Откуда: http://codearticles.ru

Сообщения: 33 530

Рейтинг: 0 / 0

Оно унылым было до четверки. Сейчас это вещь.

...

Рейтинг:

0 / 0

19.06.2012, 22:05

| Ответить | Цитировать | Написать

Создание фильтра иньекций

#37845308

SanSYS

Участник

Сообщения: 1 908

Рейтинг: 0 / 0

МСУОно унылым было до четверки. Сейчас это вещь.
+1, хоть я его активно и не использую, но за новостями слежу
К примеру в пятерке добавили кеширование запросов (именно запросов), если по каждому пуку не писать новый запросик, то достаточно удобная и на самом деле нужная фича

просто читай, ознакамливайсяНа счет L2S я не спорю, хорошая фича. L2Xml вообще, выше всяких похвал.
А вот EF, уж простите, унылое говно.
1. LinqToSql это не фича, это ORM
2. LinqToXml - своего рода тоже orm
3. Обсуждать EF vs Linq2Sql в той или иной степени уже не кошерно

Вот LINQ, экспрешены и рефлексия - эта фичи, это действительно мегафичи, помогающие как быстро разработать качественное приложение, так и быстро сделать из него полное говно
Все остальное (L2S, EF, NHibernate и пр.) - есть велосипеды, которые желательно не изобретать, а если приходится изобретать, то лучше знать как работают аналоги, даже если считаешь что аналоги есть УГ

...

Рейтинг:

0 / 0

19.06.2012, 22:41

| Ответить | Цитировать | Написать

Создание фильтра иньекций

#37845312

Starlex

Участник

Откуда: С.-Петербург

Сообщения: 1 043

Рейтинг: 0 / 0

просто читай, ознакамливайся
На счет L2S я не спорю, хорошая фича.

L2S появилось в 3.5 FW, а в 4-м майкрософт уже рекомендовали отходить от него и переходить на EF. Что это за технология такая, которая не выдержала даже одной версии фреймворка?! :)

...

Рейтинг:

0 / 0

19.06.2012, 22:45

| Ответить | Цитировать | Написать

25 сообщений из 155, страница 1 из 7

все

Форумы / ASP.NET [игнор отключен] [закрыт для гостей] / Создание фильтра иньекций

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=18&msg=37845268&tid=1359473]:	0ms
get settings:	8ms
get forum list:	15ms
check forum access:	3ms
check topic access:	3ms
track hit:	164ms
get topic data:	6ms
get forum data:	2ms
get page messages:	37ms
get tp. blocked users:	1ms
others:	284ms

total:	523ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы