隐藏在程序旮旯中的“安全问题”

简介:
--作为一个真正的程序员,必须有高度的“ 安全意识”,因为我们作出的软件运行在复杂的环境中,不能把不该有异常抛给用户,更不能把漏洞留给“黑客”,当然也不能把“操作失误”作为系统出错的理由。

    那么我们应该如何才能写出一个“安全”的软件呢?其实问题就在我们的程序旮旯中,看你是否用心去看哪些所有可能引起问题的代码。下面列举一例说明,我们的数据同步程序需要在目标数据库执行一点点( 就一点点,你看下面的代码就知道)SQL语句,按照原来的设计,这是不允许的,因为可能引起安全问题,但是现在既然“开了一扇窗”,就要“增加十层网”,我们来看看应该怎么样架起这个防火墙:

 

复制代码
 1  PWMIS.DataProvider.Data .AdoHelper db =   this .GetDbHelper();
 2  if  (tableName  ==   " TB_SYS_SQL " )
 3  {
 4      foreach  (EntityBase entity  in  entitys)
 5     {
 6         object  obj  =  entity.PropertyList( " sqlstr " );
 7         if  (obj  !=   null // @1
 8        {
 9              string  sqlstr  =  obj  as   string  ; // @2
10              if  ( ! string .IsNullOrEmpty(sqlstr))  // @3
11             {
12                    // 目前只执行该条类型的SQL语句
13                    if  (sqlstr.ToLower().StartsWith ( " delete from jjzb " ))   // @4
14                   {
15                        int  count  =  db.ExecuteNonQuery(sqlstr.Split ( ' ; ' )[ 0 ]);
16  // @5,过滤;号后的其它语句,避免SQL注入
17                        this .Talk( string .Format( " 执行SQL语句{0} ,{1}行记录受影响。  " , sqlstr, count));
18                   }
19             }
20       }
21    }
22  }
23 
24 
复制代码

 

 

我们来仔细分析上面的代码是怎么遵循“安全意识”的,
@1,先判断 obj 是否为空,如果不判断,下面的代码就可能出错;
@2,将 变量 obj 转换成一个字符串对象,如果使用下面的方式转换,有可能出现错误:
string sqlstr=(string)obj;

当然还有其它安全的转换方式,大家可以去找找看;
@3,转换可能不成功,需要再此判断字符串对象是否为空引用或者空字符串,否则下面的查询会出错;
@4,sqlstr.ToLower(),确保它可以和后面的字符串比较,避免大小写问题;
@5,sqlstr.Split(';') 这句将输入的SQL字符串进行拆分,为什么要这样做?我们看看加入它的值是下面的 SQL语句会在呢么样:

delete from jjzb where jjdm='KF001' ; drop table tb_user--

如果有人哪天输入了这样的一条语句,那DBA或者系统管理员就该哭死了,sqlstr.Split(';')[0] 确保程序只会执行分号前面的SQL语句(该语句在步骤4已经确保安全了),从而不会有 SQL注入的问题。

    也许有人说了,这些SQL语句是我用后台管理工具输入的,很安全,可以确保没有问题,不用这么麻烦来判断吧?也许你只输入了一个空格,也许你的数据在传输过程中被黑客截获... ...
    也许,你也会说,加一个 try{...}catch{...} 不就好了吗?这只是掩盖了问题当并没有解决问题。

不要相信别人给你的任何输入”,谁知道这是仙女还是魔鬼呢?

安全问题无处不在,仔细检查一下你的程序旮旯,不要放过它,否则,你就可能后悔,“成功近在咫尺”却又“檫肩而过”。

 

 


    本文转自深蓝医生博客园博客,原文链接:http://www.cnblogs.com/bluedoctor/archive/2010/11/27/1889749.html,如需转载请自行联系原作者


相关文章
|
5天前
|
搜索推荐 安全 BI
工作提醒软件:破解工作混乱迷局的关键密码
本文探讨了工作提醒软件的功能特点、应用场景及优势,包括多样化的提醒设置、多平台同步、任务管理与分类、提醒方式个性化等。软件适用于项目管理、日常办公、会议管理、销售跟进等多个场景,能有效提高工作效率、增强时间管理能力、减少工作失误、提升工作专注度。文章还提供了如何选择适合自己的工作提醒软件的建议,如功能需求评估、平台兼容性、用户界面友好性、软件稳定性与安全性、价格与付费模式等。
|
4月前
|
存储 缓存 监控
警惕网络背后的陷阱:揭秘DNS缓存中毒如何悄然改变你的网络走向
【8月更文挑战第26天】DNS缓存中毒是一种网络攻击,通过篡改DNS服务器缓存,将用户重定向到恶意站点。攻击者利用伪造响应、事务ID猜测及中间人攻击等方式实施。这可能导致隐私泄露和恶意软件传播。防范措施包括使用DNSSEC、限制响应来源、定期清理缓存以及加强监控。了解这些有助于保护网络安全。
114 1
|
4月前
|
XML C# 数据格式
绝密档案曝光!Windows平台如何深挖一个dll背后的神秘依赖,揭露隐藏的秘密!
【8月更文挑战第14天】在Windows系统中,动态链接库(DLL)对程序运行至关重要。了解DLL的依赖关系有助于软件的调试与优化。本文以具体案例演示如何查看DLL依赖。首先确保环境已安装Windows及具备基本开发知识。
82 0
|
监控 安全 网络协议
黑客控制肉鸡三大利剑工具一次性全部学会
黑客控制肉鸡三大利剑工具一次性全部学会
371 0
|
算法 物联网 区块链
区块链正在改变约会应用程序的工作方式
区块链正在改变约会应用程序的工作方式
|
人工智能 算法
为什么很少有游戏支持场景破坏?是因为技术问题吗?
最近很多游戏狂热迷们正火热讨论的一个问题是:为什么很少有游戏支持场景破坏?说实话小编也非常好奇,于是乎小编去查了好多资料。接下来小编带领大家一起去深挖究竟!
145 0
为什么很少有游戏支持场景破坏?是因为技术问题吗?
|
移动开发 小程序 安全
|
安全 Windows
蠕虫创建多重替身 利用伪装术迷惑用户
        蠕虫W32.Korron.B可谓“功能”繁多,创建多重替身、善于伪装的特点令用户难以察觉。  病毒名称:W32.Korron.B  病毒类型:蠕虫  受影响的操作系统:Windows 2000/XP/Vista/NT、Windows Server 2003  病毒分析:  修改系统设置、替换特定文件、结束杀毒软件进程—W32.Korron.B蠕虫可谓“功能”繁多;创建多重替身、善于伪装的特点也令用户难以察觉该蠕虫在系统中的存在和危害。
858 0
|
安全 测试技术 区块链
游戏安全资讯精选 2018年第八期:3975款游戏被查处,游戏圈重击;Memcached被利用UDP反射攻击漏洞预警;VentureBeat称区块链或可定位和消除恶意可执行代码的安全问题
3975款游戏被查处,游戏圈重击;Memcached被利用UDP反射攻击漏洞预警;VentureBeat称区块链或可定位和消除恶意可执行代码的安全问题
6046 0