FoxClub Forums > Visual Foxpro, Foxpro for DOS > автоматический поиск процедуры в ХП ::

• Войти

Страницы: 1 2

Re: автоматический поиск процедуры в ХП
NSF Автор Сообщений: 3853 Откуда: Пермь Дата регистрации: 21.01.2005	NSF 16.05.20 19:43:01 Igor Korolyov В большинстве случаев execscript и прочая "динамика" (включая макро в запросах или ином коде) это прямой путь для инъекции зловредного кода да, знаю ... и даже видел, на примере обработки данных со штрихкода на фоксе)) об execscript речь зашла не в контексте запросов, это чисто внутренняя клиентская(! именно там для работы с данными и возникает, жостко зашитая в код) дилема в запросах нет такого и макро нет ------------------ откапываю!

NSF
Автор

Сообщений: 3853
Откуда: Пермь
Дата регистрации: 21.01.2005

NSF

16.05.20 19:43:01

Igor Korolyov
В большинстве случаев execscript и прочая "динамика" (включая макро в запросах или ином коде) это прямой путь для инъекции зловредного кода

да, знаю ... и даже видел, на примере обработки данных со штрихкода на фоксе)) об execscript речь зашла не в контексте запросов, это чисто внутренняя клиентская(! именно там для работы с данными и возникает, жостко зашитая в код) дилема в запросах нет такого и макро нет

------------------
откапываю!

Re: автоматический поиск процедуры в ХП
NSF Автор Сообщений: 3853 Откуда: Пермь Дата регистрации: 21.01.2005	NSF 16.05.20 19:57:26 NSF Igor Korolyov В большинстве случаев execscript и прочая "динамика" (включая макро в запросах или ином коде) это прямой путь для инъекции зловредного кода да, знаю ... и даже видел, на примере обработки данных со штрихкода на фоксе)) об execscript речь зашла не в контексте запросов, это чисто внутренняя клиентская(! именно там для работы с данными и возникает, жостко зашитая в код) дилема в запросах нет такого и макро нет но, разуммется, выполнение произвольного кода подразумевает макро ... я совсем не прочь обсудить с тобой это вопрос ... это маленький комсервер имеет грубо говоря только один метод, который, прежде чем выполнить макроподстановку убеждается, что собирается вызваться именно функция с наименованием соответствующим определЁнным правилам, т.е. я предполагаю это достаточным для первой линии обороны, а уже собственно в самой вызванной функции можно организовать проверки любых переданных параметров и вообще чего угодно ... я сильно этим вторым этапом не заморачиваюсь пока ... что ты думаешь об этом? ЗЫ эх, раньше я бы оперативно давно с дроздовым эти вопросы обсудил ... ------------------ откапываю!

Re: автоматический поиск процедуры в ХП

NSF
Автор

Сообщений: 3853
Откуда: Пермь
Дата регистрации: 21.01.2005

NSF

16.05.20 19:57:26

NSF
Igor Korolyov
В большинстве случаев execscript и прочая "динамика" (включая макро в запросах или ином коде) это прямой путь для инъекции зловредного кода

да, знаю ... и даже видел, на примере обработки данных со штрихкода на фоксе)) об execscript речь зашла не в контексте запросов, это чисто внутренняя клиентская(! именно там для работы с данными и возникает, жостко зашитая в код) дилема в запросах нет такого и макро нет

но, разуммется, выполнение произвольного кода подразумевает макро ... я совсем не прочь обсудить с тобой это вопрос ... это маленький комсервер имеет грубо говоря только один метод, который, прежде чем выполнить макроподстановку убеждается, что собирается вызваться именно функция с наименованием соответствующим определЁнным правилам, т.е. я предполагаю это достаточным для первой линии обороны, а уже собственно в самой вызванной функции можно организовать проверки любых переданных параметров и вообще чего угодно ... я сильно этим вторым этапом не заморачиваюсь пока ... что ты думаешь об этом?

ЗЫ эх, раньше я бы оперативно давно с дроздовым эти вопросы обсудил ...

------------------
откапываю!

Re: автоматический поиск процедуры в ХП
Igor Korolyov Сообщений: 34580 Дата регистрации: 28.05.2002	Igor Korolyov 16.05.20 23:00:15 Думаю что фокс ничем не отличается в этом отношении от других систем. Да, если нельзя ограничить "сферу применения параметра" (чем лечат sql инъекции), то делают разнообразные санитайзеры и валидаторы. Только это больше костыли уже, проистекающие из желания "необыкновенной гибкости во всём теле" ------------------ WBR, Igor

Re: автоматический поиск процедуры в ХП

Igor Korolyov

Сообщений: 34580
Дата регистрации: 28.05.2002

Igor Korolyov

16.05.20 23:00:15

Думаю что фокс ничем не отличается в этом отношении от других систем.
Да, если нельзя ограничить "сферу применения параметра" (чем лечат sql инъекции), то делают разнообразные санитайзеры и валидаторы. Только это больше костыли уже, проистекающие из желания "необыкновенной гибкости во всём теле"

------------------
WBR, Igor

Re: автоматический поиск процедуры в ХП
NSF Автор Сообщений: 3853 Откуда: Пермь Дата регистрации: 21.01.2005	NSF 18.05.20 09:57:12 короче, всЁ очень интересно ... и смешно ... VFP about показывает sp2 9.0.0.5815, полез разбираться с версиями файлов: Vfp9.exe - 9.0.0.5815, Vfp9r.dll - 9.0.0.7423, Vfp9t.dll - 9.0.0.7423, vfp9renu.dll - 9.0.0.5815 ... и всЁ работает без предварительного открытия БД ... теперь надо будет дома убедиться, что на машинах этого зоопарка нет и если так ... всЁ очень интересно ------------------ откапываю!

Re: автоматический поиск процедуры в ХП

NSF
Автор

Сообщений: 3853
Откуда: Пермь
Дата регистрации: 21.01.2005

NSF

18.05.20 09:57:12

короче, всЁ очень интересно ... и смешно ... VFP about показывает sp2 9.0.0.5815, полез разбираться с версиями файлов: Vfp9.exe - 9.0.0.5815, Vfp9r.dll - 9.0.0.7423, Vfp9t.dll - 9.0.0.7423, vfp9renu.dll - 9.0.0.5815 ... и всЁ работает без предварительного открытия БД ... теперь надо будет дома убедиться, что на машинах этого зоопарка нет и если так ... всЁ очень интересно

------------------
откапываю!

Страницы: 1 2

:: Список Форумов•Список тем•Поиск•Войти

Извините, только зарегистрированные пользователи могут оставлять сообщения в этом форуме.

On-line: 15 AndyNigmatec (Гостей: 14)