Форум программистов «Весельчак У»
  *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

  • Рекомендуем проверить настройки временной зоны в вашем профиле (страница "Внешний вид форума", пункт "Часовой пояс:").
  • У нас больше нет рассылок. Если вам приходят письма от наших бывших рассылок mail.ru и subscribe.ru, то знайте, что это не мы рассылаем.
   Начало  
Наши сайты
Помощь Поиск Календарь Почта Войти Регистрация  
 
Страниц: [1]   Вниз
  Печать  
Автор Тема: Защита MS SQL от примитивных взломов  (Прочитано 7460 раз)
0 Пользователей и 1 Гость смотрят эту тему.
yudjin
Помогающий

ua
Offline Offline
Пол: Мужской

« : 29-09-2010 10:41 » 

День добрый. Подскажите, где можно почитать о базовой защите БД MS SQL, и вообще, зачем ее защищать от внешнего злоумышленника (БД использует вэб-сайт)? Ведь защита уже реализована в самом IIS, через все эти домены/учетные записи. Как хранимки могут помочь в защите? Ведь з/у не может приконектиться к БД... В общем, сплошная дыра в этом вопросе.

ЗЫ: сайт писан на ASP.net, хостится на сервере, обслуживаемом хорошими работниками. Они же дыры-то позакрывали прямые...
Записан
Sla
Команда клуба

ua
Offline Offline
Пол: Мужской

WWW
« Ответ #1 : 29-09-2010 10:50 » 

select * from table where password = 'password' or 1=1

Надо защищаться?
Записан

Мы все учились понемногу... Чему-нибудь и как-нибудь.
yudjin
Помогающий

ua
Offline Offline
Пол: Мужской

« Ответ #2 : 29-09-2010 10:58 » 

Скажем так - только эту SQL Injection и знаю.
Почитал о взломах в общем - так уже вроде бы все и за тебя защищено, осталось только уберегтись от иньекций. Но если перевести работу с БД на хранимки, то иньекции отпадают. И все? Тогда почему все кричат о "взломах" их бесценных сайтов..
Записан
baldr
Команда клуба

cy
Offline Offline
Пол: Мужской
Дорогие россияне


WWW
« Ответ #3 : 29-09-2010 11:05 » 

yudjin, можно ограничить коннекты к базе только теми хостами, которые реально необходимы (вообще, в идеале, только localhost).
Записан

Приличный компьютер всегда будет стоить дороже 1000 долларов, потому что 500 долларов - это не вполне прилично
Kivals
Команда клуба

ca
Offline Offline
Пол: Мужской

WWW
« Ответ #4 : 29-09-2010 11:49 » new

yudjin, скажем так: приведнный пример SQL injection самый распространенный и наглядный, а вообще когда видят текст запроса - то в зависимосит от него и начинается придумывание таких взломов. Потому рекомендации следующие:
чем проще запросы - тем сложнее придумать подобный взлом
закрыть все сообщения об ошибках на работающем сайте, чтобы при каком-то сбое пользователю не показывало код для отладки

Хранимые процедуры по идее должны закрыть многие из подобных проблем, но мало кто применяет их для рабочих проектов по разным причинам (от необрзованности - до совместимости)
Записан
Страниц: [1]   Вверх
  Печать  
 

Powered by SMF 1.1.21 | SMF © 2015, Simple Machines