Spesso leggo che il passaggio per parametri sarebbe da evitare per una maggiore sicurezza... ma poi mi chiedo: il codice che sta nella pagina ASP lo decido io, sono io che definisco le query e specifico se si deve eseguire una select, un insert o altro.
Fatemi capire, allora dove sta effettivamente il problema sicurezza?
La domanda è se è meglio usare la querystring, quindi passare i valori nell'indirizzo web, oppure la form?
sì.
Ho letto più di una volta che il passaggio dei parametri nella barra degli indirizzi sarebbe da evitare per la sicurezza e utilizzare invece il request.form (creando una seconda pagina)... quindi mi chiedo: dove sta il problema... il vbullettin ad esempio, come quasi tutti i forum, in navigazione usa i parametri nella barra degli indirizzi. Questo stesso forum pure... ma non in inserimento però...
beh se faccio un log in tramite form e poi passo da pagina a pagina la username eo la pwd su riga indirizzi......
se poi passo dei valori con il nome del campo che vado ad usare es passo l'id di un articolo con variabile id=555 (es.) se ne mastico un po' posso provare ad interrompere una tua query modificando la riga stessa.
Intendi l'inserimento di record in un db?
Se così, è vivamente sconsigliato, oltre che scomodo, tanto il form per l'inserimento dei dati a video lo devi comunque fare.
Per la normale navigazione non cisoo problemi, salvo casi legati a sicurezza particolare, vedi carte di credito, siti bancari o altro.
ma innanzitutto id potrebbe essere una variabile che non rispecchia il nome del campo e poi comunque come faccio ad eseguire una query di delete ad esempio senza poter modificare il codice nativo che c'è dietro? E' impossibile.
Peraltro se darò la possibilità di fare delle modifiche le darò solo ad utente loggato e verificherò che quanto sta modificando abbia come campo account il suo account :boh2:
Poi se non sbaglio esistono anche le password con rispettivi livelli di accesso.
tutto naturalmente dipende cosa devi fare...
puoi scavalcare anche la sicurezza di un form, se per esempio non pulisci i campi dagli apici singoli prima di fare la query.
basta questo per dirti che gli accorgimenti di sicurezza non sono mai troppi.
certo se leggo id=555 e voglio proprio rompere le scatole mi metto li e provo a capire a cosa serve quell'id etc etc... uno che vuole rompere le scatole ad un sito ha tempo da perdere... e quanto ne ha!
Vedi acquistare un carro armato e bombardare a suon di cannonate la webfarm dove alloggiano i tuoi server.Originariamente inviato da Jacqui
... uno che vuole rompere le scatole ad un sito ha tempo da perdere... e quanto ne ha!
Normalmente le webfarm sono protette contro gli intrusi, ma contro le cannonate...
senza parole :quote:Originariamente inviato da optime
http://www.15seconds.com/Issue/020701.htm
Permessi di invio
Rispondi quotando