19 смертных грехов, угрожающих безопасности программ - страница 36

Pattern p = Pattern.compile("^\\d{1,8}$");

if (!p.matcher(arg).find())

return false;

Connection con = null;

try

{

Class.forName("com.microsoft.jdbc.sqlserver.SQLServerDriver");

con = DriverManager.getConnection("jdbc:microsoft:sqlserver: " +

                                              "//localhost:1433", "sa", "$3cre+");

PreparedStatement st = con.prepareStatement(

"exec pubs..sp_GetCreditCard ?");

st.setString(1, arg);

ResultSet rs = st.executeQuery();

while (rx.next()) {

   // Получить данные из rs.getString(1)

}

rs.close();

st.close();

}

catch (SQLException e)

{

System.out.println("Ошибка SQL");

return false;

}

catch (ClassNotFoundException e)

{

System.out.println("Ошибка во время исполнения");

return false;

}

finally

{

try

{

con.close();

} catch(SQLException e) {}

}

return true;

}

Искупление греха в ColdFusion

При работе с ColdFusion используйте cfqueryparam в теге , чтобы обезопасить запрос с параметрами.

Искупление греха в SQL

Не следует исполнять в хранимой процедуре строку, полученную из не заслуживающего доверия источника, как процедуру. В качестве одного из механизмов глубоко эшелонированной обороны можно воспользоваться некоторыми функциями для проверки корректности строкового параметра. В примере ниже проверяется, что входной параметр содержит ровно четыре цифры. Заметим, что длина параметра заметно уменьшена, чтобы усложнить передачу любой другой входной информации.

CREATE PROCEDURE dbo.doQuery(@id nchar(4))

AS

DECLARE @query nchar(64)

IF RTRIM(@id) LIKE '[0-9][0-9][0-9][0-9]'

BEGIN

SELECT @query = 'select ccnum from cust where id = ''' + @id + ''''

EXEC @query

END

RETURN

Или еще лучше – потребуйте, чтобы параметр был целым числом:

CREATE PROCEDURE dbo.doQuery(@id smallint)

В Oracle lOg, как и в Microsoft SQL Server 2005, добавлены совместимые со стандартом POSIX регулярные выражения. Поддержка регулярных выражений реализована также для DB2 и Microsoft SQL Server 2000. В MySQL регулярные выражения поддерживаются с помощью оператора REGEXP. Ссылки на все эти решения вы найдете в разделе «Другие ресурсы».

Конец ознакомительного фрагмента.

Если вам понравилась книга, поддержите автора, купив полную версию по ссылке ниже.

Продолжить чтение
Назад

Похожие книги

19 смертных грехов, угрожающих безопасности программ
19 смертных грехов, угрожающих безопасности программ
Майкл Ховард
Программирование
Эта книга необходима всем разработчикам программного обеспечения, независимо от платформы, языка или вида приложений. В ней рассмотрены 19 грехов, угрожающих безопасности программ, и показано, как от них избавиться. Рассмотрены уязвимости на языках C/C++, C#, Java, Visual Basic, Visual Basic.NET, Perl, Python в операционных системах Windows, Unix, Linux, Mac OS, Novell Netware. Авторы издания, Майкл Ховард и Дэвид Лебланк, обучают программистов,
Читать онлайн
Франко-прусская война. Отто Бисмарк против Наполеона III. 1870—1871
Франко-прусская война. Отто Бисмарк против Наполеона III. 1870—1871
Майкл Ховард
Общая история
Британский военный историк, профессор Оксфордского университета посвятил свой труд военному конфликту между империей Наполеона III и германскими государствами во главе с Пруссией. Война, спровоцированная прусским канцлером О. Бисмарком и формально начатая Наполеоном III, закончилась поражением и крахом Франции, в результате чего Пруссия сумела преобразовать Северогерманский союз в единую Германскую империю. Работая над книгой, автор исследовал и
Читать онлайн
Создай свой VPN. Безопасное использование интернета
Создай свой VPN. Безопасное использование интернета
Джейд Картер
Самоучители
Книга будет полезна для тех, кто стремится к созданию собственной виртуальной частной сети (VPN). Она охватывает широкий спектр тем, начиная с основ безопасности сетей и технологий VPN, и заканчивая практическими шагами по настройке и обслуживанию серверов и клиентов VPN. Автор подробно рассматривает различные аспекты создания VPN, включая выбор платформы и инфраструктуры, обеспечение безопасности данных, оптимизацию производительности и интеграц
Читать онлайн
AGI на IoT с подкреплением децентрализованной валютой
AGI на IoT с подкреплением децентрализованной валютой
Лэй Энстазия
Программирование
Эта книга о будущем, где искусственный интеллект постепенно преображается в универсальный мозг, рождающийся из множества IoT-устройств, объединённых в децентрализованную сеть. Автор исследует, как самообучающиеся системы, способные автоматически переписывать и оптимизировать собственный код, превращают каждое «умное» устройство в автономного агента. Благодаря применению механизмов мотивации через альткоины, каждое устройство не только обмениваетс
Читать онлайн
Потенциал ИИ в бизнесе. Стратегическое применение искусственного интеллекта и Big Data
Потенциал ИИ в бизнесе. Стратегическое применение искусственного интеллекта и Big Data
Аша Саксена
Программирование
Наверняка вы слышали об искусственном интеллекте (ИИ) и больших данных, но думали, что эти технологии слишком сложны. Возможно, вы представляете ИИ как что-то из голливудских научно-фантастических фильмов. Но искусственный интеллект –  уже часть нашей повседневной жизни. И он способен изменить ваш бизнес к лучшему.Как использовать мощный потенциал ИИ, больших данных и других технологий для расширения и развития бизнеса? Ответы на эти вопросы вы н
Читать онлайн
Программирование на Java: Руководство для опытных разработчиков
Программирование на Java: Руководство для опытных разработчиков
Программист
Программирование
Эта книга предназначена для опытных разработчиков, которые хотят углубить свои знания и навыки в программировании на Java. В ней рассматриваются наиболее актуальные и сложные темы, включая разработку высокопроизводительных приложений, использование современных библиотек и фреймворков, а также лучшие практики программирования на Java. Книга содержит подробные примеры, код и практические задания, которые помогут читателям закрепить свои знания и на
Читать онлайн
Управление инновациями. Теория решения изобретательских задач (ТРИЗ)
Управление инновациями. Теория решения изобретательских задач (ТРИЗ)
Владимир Петров
Просто о бизнесе
Книга посвящена стратегиям выбора продукта для создания инноваций и достижения бизнес-успеха компаний с учетом жизненных циклов продукта, компании и рынка. Отдельно рассматривается методика получения идеи будущих инноваций и изменений в продукте для поддержания успешных продаж. Эти методики основаны на теории решения изобретательских задач (ТРИЗ). Основное внимание уделено системному подходу на этапах выработки стратегии развития компании и проду
Читать онлайн
Опытный маг и одинокий дракон
Опытный маг и одинокий дракон
Екатерина Бакулина
Любовное фэнтези
Этот упрямый дракон не признается, что есть вещи, с которыми он не в силах совладать. Даже когда тьма лезет из старых могильников. Драконьим огнем можно уничтожить нежить, прикрыв симптомы, но никак не уничтожить причины. Поэтому, для решения проблемы направили нас. Я – опытный боевой маг, Педро – некромант. Мы точно знаем, что делать. Но дракон все равно уверен, что может обойтись сам. Ну, ладно, некроманта еще можно оставить. Но я женщина! Мне
Читать онлайн