TIP: Přetáhni ikonu na hlavní panel pro připnutí webu
Newbie
Zdravim,
potreboval by som aplikaciu prepojit s mysql databazou.
V formulari sa budu do nej pridavat udaje.
Mojou otazkou je ako zabranit SQL injection.
V php som pouzival funkcie ako AddSlashes() a StripSlashes().
Co by som mohol pouzit v C# ??? mate niekto s tym skusenosti?
Druha otazka je, ako ulozit heslo v aplikacii. Asi nie je bezpecne ho nechat v normalnom citatelnom tvare.
Dakujem za vase rady.
Fórum › .NET
Funkcia AddSlashes() v C#, ulozenie hesla v aplikacii
Nahlásit jako SPAM
IP: 217.119.127.–
Hero
Zdravím,
odpověď na první otázku bude "parametrizované SQL dotazy" a odpověď na druhou otázku "ASP.NET membership". Pokud použiješ rozumného membership providera, tak tě způsob ukládání hesla nemusí trápit. http://altairiswebsecurity.codeplex.com/
Dušan Janošík | web: djanosik.cz, @djanosik
Mohli by ste aj blizsie popisat tie parametrizovane sql dotazy?
a k tomu druhemu asi sme sa nepochopili alebo ja to vas nepochopil, ide o to ze robim clientsku aplikaciu, ktora sa napaja na databazu pod tym istym menom a heslom, a idem mi o to ako tieto citlive udaje ulozit v tejto aplikacii
Stálý členJa som sa tiež raz pýtal niekde , ako uložiť heslo v aplikácii, aby sa nedalo získať...
Bolo mi povedané, že úplne uložiť ho nedokážem , lebo ak niekto veľmi bude chcieť tak ho nájde tak či tak... Preto sa treba zamerať na to, kto bude používať danú aplikáciu? Bežný user alebo profesionálny cracker?
Ja som to vyriešil tak, že som si heslo zakriptoval obyčajnou šifrou uložil do xml súboru. Následne som si uložil heslo od arhcívu do aplikácie (kodu) ako konštantu, použil ju na dvoch miesta (čítaní a zápise) a hotovo.
Stačilo by samozrejme iba decompilovať aplikáciu , nájsť danú konštantu a následne rozbaliť kriptovacim heslo, ale povedz mi koľko bežných user to dokáže? :-)
Samozrejme, nehovorím, že toto je najlepšie riešenie, ale podľa môjho názoru na bežné prevázdkovanie dostatčne bezpečné...
Více o parametrizovaných SQL dotazech můžeš najít např. na http://www.csharp-station.com/Tutorials/AdoDotNet/Lesson06.aspx nebo http://www.vyvojar.cz/Articles/380-uvod-do-ado-net-2.aspx a pomoct by snad mohl i http://www.igify.com/?q=parametrized+sql+query+c%23.
A pokud jde o uložení hesla, tak to jsme se opravdu nepochopili. To heslo nepůjde nikdy úplně na 100 % skrýt. Mělo by být součástí connection-stringu, který je uložen v souboru App.config v sekci connctionStrings, kterou je možné zašifrovat. Ale o tom moc nevím. http://www.codeproject.com/KB/dotnet/EncryptingTheAppConfig.aspx
Dušan Janošík | web: djanosik.cz, @djanosik
To dartanan : U C++ je situace úplně jiná. Tam je daleko komplikovanější dekompilaci provést.
Dušan Janošík | web: djanosik.cz, @djanosik
nasiel som dobry program, ktory cely exe subor prekompiluje a tak zasifruje citlive udaje
skoda ze je len trial :(
http://www.ssware.com/cryptoobfuscator/obfuscator-net.htm
Ano, obfuscatorů je hromada, ale i to se dá obejít.
Dušan Janošík | web: djanosik.cz, @djanosik
Zjistit počet nových příspěvků
Přidej příspěvek
Toto téma je starší jak čtvrt roku – přidej svůj příspěvek jen tehdy, máš-li k tématu opravdu co říct!
Ano, opravdu chci reagovat → zobrazí formulář pro přidání příspěvku
×Vložení zdrojáku
×Vložení obrázku
×Vložení videa
Aktuálně jsou podporována videa ze serverů YouTube, Vimeo a Dailymotion.
×
Uživatelé prohlížející si toto vlákno
Uživatelé on-line: 0 registrovaných, 5 hostů
Podobná vlákna
Addslashes() Versus mysql_real_escape_string() — založil Prog.
Addslashes - jak se zbavit " a ' — založil pecan987
členská funkcia / funkcia — založil Robo
2 "rovnocenné" okna v 1 aplikácii — založil Trebor
Pripojenie .hlp suboru v aplikacii — založil MiMi11111
Moderátoři diskuze
