ZONER Cookies

Vážený návštěvníku, potvrzením pomocí tlačítka OK udělujete souhlas nám a našim partnerům s použitím cookies pro nezbytné, analytické a marketingové účely na tomto zařízení. Volbou Nastavení můžete sami určit, jaké skupiny cookies je možné zpracovávat, popřípadě jejich zpracování úplně zakázat. Ukládání nezbytných cookies probíhá vždy, a to v zájmu zachování funkčnosti webové prezentace.

V tomto okně můžete zvolit kategorie cookies v souladu s vlastními preferencemi.

Nezbytné

Tyto cookies zajišťují bezchybný provoz našich webových stránek. Umožňují například vložení služby do objednávky, ukládání dat s ohledem na bezpečnost webu, přihlašování k webu a podobně. Nezbytné cookies nelze deaktivovat, jelikož by došlo k narušení správného fungování webu.

Preferenční

Preferenční cookies umožňují, aby si webová stránka zapamatovala informace, které mění, jak se webová stránka chová nebo jak vypadá. Je to například preferovaný jazyk nebo region, kde se nacházíte.

Analytické

Díky nástrojům jakými jsou například Google analytics můžeme sledovat, jak stránky používáte, z jakých zdrojů a technologií. Na základě těchto dat můžeme web neustále vylepšovat, aby byl pro vás co nejpřívětivější. Veškerá data jsou anonymizována, konkrétní uživatele tedy identifikovat nemůžeme.

Marketingové

Společně s nástroji třetích stran můžeme zobrazovat vámi preferované reklamy v partnerských sítích přesně dle vašich zájmů. V případě nesouhlasu je vysoce pravděpodobné, že vaše zájmy a preference nebudou zohledněny a bude se vám reklama zobrazovat plošně. Veškeré profily vašich zájmů jsou pseudonymizované, díky tomu není možná bezprostřední identifikace vaší osoby.

Elektronický obchod v ASP – zabezpečení administračního rozhraní

31. října 2002
Marek Šiller

Obsah

  1. Funkce CropSQLSpecialChars
  2. Filtrování dat pomocí funkce CropSQLSpecialChars
  3. Další možnosti zabezpečení

Související

Zabezpečíme přístup do databáze tak, aby nedocházelo ke zneužití pomocí SQL příkazů. Zdrojové kódy uvedené v minulém článku neobsahují kontrolu vstupních dat. V případě, že někdo do vstupních polí zadá znak „;“ (středník) a poté nějaký SQL příkaz, například „DROP TABLE Admin“, tento příkaz se provede. A jak tuto bezpečnostní chybu odstranit?

Funkce CropSQLSpecialChars

Nejjednodušší a nejúčelnější způsob je odfiltrovat speciální SQL znaky pomocí standardních funkcí VBScriptu – Replace. Funkce Replace bude nahrazovat speciální znaky HTML entitami, což znamená, že znaky budou v databázi uloženy „zakódované“, ale v prohlížeči se budou zobrazovat zcela normálně.

Speciální znak HTML entita
#039;
vbCrLf <br>
* #042;
; #059;

  <%
  Function CropSQLSpecialChars(ByVal Text)
    Dim strTemp
    ‚deklarace proměnných
    strTemp = Text
    ‚načtení vstupních dat

    strTemp = Replace(strTemp, „‚“, „'“)
    strTemp = Replace(strTemp, vbCrLf, „<br>“)
    strTemp = Replace(strTemp, „*“, „*“)
    strTemp = Replace(strTemp, „;“, „;“)
    ‚nahrazení speciálních znaků entitami / tagy
    CropSQLSpecialChars = strTemp
    ‚zapsání návratové hodnoty
    End Function
  %>

Filtrování dat pomocí funkce CropSQLSpecialChars

Funkci CropSQLSpecialChars použijeme na každém místě, kde manipulujeme s proměnnými, jejichž hodnoty získáváme z formuláře či z řetězce QueryString. Upravený kód bude vypadat takto (upravená část zdrojového kódu z minulého článku):

  Původní kód:
  …
  Case 4
  ‚upravit kategorii
  If Len(Request.Form(„submit“)) > 0 Then
  ‚v případě, že formulář byl odeslán
    intNadrazena = CInt(Request.Form(„nadrazena“))
    strNazev = Request.Form(„nazev“))
    strPopis = Request.Form(„popis“))
    intId = CInt(Request.Form(„id“))
    ‚načti hodnoty z formuláře a filtrování speciálních znaků
    PripojDatabazi
  …
  Upravený kód:
  …
  Case 4
  ‚upravit kategorii
  If Len(Request.Form(„submit“)) > 0 Then
  ‚v případě, že formulář byl odeslán
    intNadrazena = CInt(Request.Form(„nadrazena“))
    strNazev = CropSQLSpecialChars(Request.Form(„nazev“))
    strPopis = CropSQLSpecialChars(Request.Form(„popis“))
    intId = CInt(Request.Form(„id“))
    ‚načti hodnoty z formuláře a filtrování speciálních znaků
    PripojDatabazi
  …

Kód funkce vložíme navrch každého souboru, ve kterém načítáme data z formulářů (hlavně admin.asp, prihlasit.asp a další).

Další možnosti zabezpečení

Další možností, jak administrační systém zabezpečit, je důkladně filtrovat vstupní data pomocí konverzních funkcí VBScriptu CInt, CLong, CBool, CDate a dalších. Potenciální nebezpečí hrozí hlavně v řetězcích. Číselné či logické hodnoty nemohou být zneužity. Před samotnou konverzí datových typů je dobré ověřit, zda lze konverzi provést či zda se má nastavit implicitní hodnota.

  Původní kód:
  …
  Case 4
  ‚upravit kategorii
  If Len(Request.Form(„submit“)) > 0 Then
  ‚v případě, že formulář byl odeslán
    intNadrazena = CInt(Request.Form(„nadrazena“))
    strNazev = Request.Form(„nazev“))
    strPopis = Request.Form(„popis“))
    intId = CInt(Request.Form(„id“))
    ‚načti hodnoty z formuláře a filtrování speciálních znaků
    PripojDatabazi
  …
  Upravený kód:
  …
  Case 4
  ‚upravit kategorii
  If Len(Request.Form(„submit“)) > 0 Then
  ‚v případě, že formulář byl odeslán
    If IsNumeric(Request.Form(„nadrazena“)) Then intNadrazena = CInt(Request.Form(„nadrazena“)) Else intNadrazena = 0
    strNazev = CropSQLSpecialChars(Request.Form(„nazev“))
    strPopis = CropSQLSpecialChars(Request.Form(„popis“))
    If IsNumeric(Request.Form(„id“)) Then intId = CInt(Request.Form(„id“)) Else Err.Raise 10001, „Chyba“, „Chyba při konverzi datových typů!“
    ‚načti hodnoty z formuláře a filtrování speciálních znaků, konvertuj datové typy, popř. vygeneruj chybu
    PripojDatabazi
  …

Dnes jsme si ukázali, jak zvýšit bezpečnost našeho elektronického obchodu filtrováním vstupních dat tak, aby nemohly být spuštěny nechtěné SQL příkazy. Zabezpečení systému tímto nemusí být kompletní, ale mělo by být dostačující pro reálný provoz. Příště vytvoříme a integrujeme do stávajícího e-shopu databázi uživatelů, aby nemuseli při každém nákupu zadávat osobní data.

Pozn. red.: Seriál musel být předčasně ukončen, protože autor nedodal slíbená pokračování. Máte-li zájem v seriálu pokračovat vlastními články, prosíme, kontaktujte redakci.

Starší komentáře ke článku

Pokud máte zájem o starší komentáře k tomuto článku, naleznete je zde.

Předchozí článek Statické filtry v CSS - přehled 1.
Další článek Vyhlášení podzimních soutěží
Štítky: Články
Marek Šiller

Mohlo by vás také zajímat

Nejnovější

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *