View Full Version : رعایت نکات ایمنی در URL
dr_csharp
یک شنبه 16 دی 1386, 12:05 عصر
سلام
برای مثال ، به لینک زیر توجه کنید :
http://barnamenevis.org/forum?ID=25 (http://barnamenevis.org/forum?ID=25)
برای جلوگیری از یکسری خرابکاریها میشه موارد زیر را بررسی کرد :
1- حتما ID وارد شده از نوع numeric باشه
2-طول Url از یک حد کاراکتر ( مثلا 50 کاراکتر ) بیشتر نباشه
3-در Url یکسری کاراکترها مثل *, % , ^ , ' , ... وجود نداشته باشه .
ممنون میشم اگر موارد دیگری هم هست دوستان اضافه کنن :لبخندساده:
shahab_ksh
یک شنبه 16 دی 1386, 12:30 عصر
به جای ID عدد قابل تشخیص از GUID استفاده کنید
به جای نام اصلی فایل از urlrewrite استفاده کنید
dr_csharp
یک شنبه 16 دی 1386, 12:40 عصر
به جای ID عدد قابل تشخیص از GUID استفاده کنید
به جای نام اصلی فایل از urlrewrite استفاده کنید
اگر ممکنه راجع به 2 نکته ی بالا بیشتر توضیح بدین ؟
shahab_ksh
یک شنبه 16 دی 1386, 12:54 عصر
ID در بانک اطلاعاتی منحصر به فرده معمولا وقتی ID بکار میده در حالت عدد و بصورت صعودی با نزولی بصورت خودکار بکار برده میشه شاید نشه از خواص عددی بودن اون برای بعضی از کارها مثل مرتب کردن و غیره گذشت. به خاطر همین همه بیشتر از ID عدی استفاده می کنن
به جای ID میشه از GUID استفاده کرد یعنی به قول شما
http://barnamenevis.org/forum?ID=25 (http://barnamenevis.org/forum?ID=25)
و وقتی از GUID استفاده میکنید اون تبدیل میشه به
http://barnamenevis.org/forum?ID=936DA01F-9ABD-4d9d-80C7-02AF85C822A8 (http://barnamenevis.org/forum?ID=25)
که امنیت بیشتری داره
التبه میشه از هر دو ID , GUID به طور همزمان هم استفاده کرد
در مورد مطلب دوم هم سرچ کنید مطالب زیادی پیدا می کنید
راه دیگه هم کد و دیکد کوئری استرینگ هست
dr_csharp
یک شنبه 16 دی 1386, 13:13 عصر
با تشکر از دوستمون shahab_ksh ممنون میشم دوستان راجب GUID مطلب یا مقاله ای لینکی چیزی دارن ارایه کنن :لبخندساده:
miladr
یک شنبه 16 دی 1386, 15:01 عصر
سلام
برای مثال ، به لینک زیر توجه کنید :
http://barnamenevis.org/forum?ID=25 (http://barnamenevis.org/forum?ID=25)
برای جلوگیری از یکسری خرابکاریها میشه موارد زیر را بررسی کرد :
1- حتما ID وارد شده از نوع numeric باشه
2-طول Url از یک حد کاراکتر ( مثلا 50 کاراکتر ) بیشتر نباشه
3-در Url یکسری کاراکترها مثل *, % , ^ , ' , ... وجود نداشته باشه .
ممنون میشم اگر موارد دیگری هم هست دوستان اضافه کنن :لبخندساده:
اگر از sp استفاده کنید خود به خود همه این موارد حل میشه به طور کلی این چیز ها که شما گفتین جز injection که یکی از راه های مطمئنش استفاده از sp هست
my_blithe
یک شنبه 16 دی 1386, 19:33 عصر
منظورتون از امنیت توی این مبحث چیه؟
یعنی فقط با داشتن ID یک رکورد میشه چه کارایی کرد که باید در مورد اون امنیت رو مدنظر داشته باشیم؟
abolfazl585
یک شنبه 16 دی 1386, 19:39 عصر
یعنی فقط با داشتن ID یک رکورد میشه چه کارایی کرد که باید در مورد اون امنیت رو مدنظر داشته باشیم؟
یه سرچ در مورد SqlInjection بزن ببین چه کارهایی نمیشه کرد
mehrdad201
یک شنبه 16 دی 1386, 20:38 عصر
شیوه استفاده GUID رو توضیح میدید...
وقتی فیلد کلید جدول از نوع GUID باشه موقع ایجاد رکورد جدید خودش یه GUID یونیک ایجاد میکنه ؟!؟!؟
shahab_ksh
یک شنبه 16 دی 1386, 23:21 عصر
وقتی فیلد کلید جدول از نوع GUID باشه موقع ایجاد رکورد جدید خودش یه GUID یونیک ایجاد میکنه ؟!؟!؟
چه کلید باشه چه نباشه یونیک ایجاد میکنه یعنی میشه گفت با الگوریتم خاصی که داره یونیک میشه
vBulletin® v4.2.5, Copyright ©2000-1403, Jelsoft Enterprises Ltd.