Cómo evitar la inyección de código en c ++
La primera regla de evitar inyectar en código C ++ programas nunca es, nunca, permitir la entrada del usuario para ser procesado por un intérprete de lenguaje de propósito general. Un error común con SQL-inyección es que el programa acepta la entrada del usuario como si fuera siempre es aceptable y lo inserta en una consulta SQL que entonces los barcos fuera al motor de base de datos para su procesamiento.
A modo de ejemplo, un programa que pide la entrada del usuario en una fecha podría ser hackeado. El enfoque de fácil uso más seguro y sería proporcionar al usuario una gráfica del calendario de la que podría seleccionar las fechas de inicio y fin. El programa a continuación, crear una fecha sobre la base de lo que hizo clic el usuario.
Si esto no es posible, entonces el programa debe comprobar cuidadosamente la entrada para asegurarse de que la entrada estaba en el formato adecuado para una fecha, en este caso, aaaa / mm / dd - en otras palabras, cuatro dígitos seguidos de una barra seguida de dos dígitos y una barra inclinada y por último dos dígitos más. Nada más se debe considerar de entrada aceptable.
A veces se puede # 8242-t ser tan específico sobre el formato. Si debe permitir al usuario introducir texto flexibles, entonces al menos puede evitar caracteres especiales. Por ejemplo, # 8242-s casi imposible de hacer la inyección de código SQL sin utilizar, ya sea simple o doble cotización.
Usted puede # 8242-t etiquetas inserto HTML sin necesidad de utilizar un menor que (lt;) y mayor que (>) signo. O usted podría tomar el enfoque que no sea de texto ASCII nada no será tolerado:
// Comprobar alguna cadena # 8242-s # 8242- para asegurarse de que # 8242-s ASCIIsize_type directamente fuera = s.find_first_not_of ("abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ01234567890 _") - if (! Apagado = string :: npos) {cerr lt; lt; "Error n" -}Este código busca la cadena s para un personaje que no # 8242-S uno de los caracteres de la A a la Z, la aa la z, 0 a 9, o un guión. Si encuentra un carácter tal, entonces el programa rechaza la entrada.
Si usted permite que sólo los caracteres latinos muestran aquí, su aplicación no será utilizable en muchos mercados extranjeros, tales como los que don # 8242-t uso conjuntos de caracteres en inglés (como el árabe, el chino, el hebreo, o el ruso, por nombrar sólo algunos ). Puede que tenga que tomar el camino contrario y sólo tiene que buscar los malos caracteres.
-
Encontrar el derecho de acceso de 2,013 herramienta para mantener basura - ¿Cómo mantener la basura fuera de su base de datos de acceso
- 10 Programación con ejercicios c codificación
- Conceptos básicos de la función scanf () en la programación c
- Común c secuencias de escape
- Cómo utilizar la entrada de corriente en la programación c
Cómo utilizar la función fgets () para la introducción de texto en la programación c Para una función de entrada de texto de uso general en el lenguaje de programación C, uno que lee más allá del primer carácter de espacio en blanco, pruebe los fgets () función. Este es el formato:Char #include * fgets (char * restringir s,…
¿Cómo trabajar con matrices de char vacíos en la programación c Así como usted puede declarar un vacío o sin inicializar, float o int matriz, puede crear una matriz de caracteres vacía con C de programación. Usted debe ser precisa, sin embargo: El tamaño de la matriz debe ser 1 mayor que la longitud máxima…
C ++ de programación: 10 consejos anti-hackers Como programador de C ++, tiene que aprender las cosas que debe hacer en su código C ++ para evitar la escritura de programas que son vulnerables a los piratas informáticos. Hay también se describen las funciones que se pueden activar si el…
C ++ de programación: el hacker & # 8242-s motivos Después de # 8242-VE terminado un estudio rápido de la programación y afiló sus habilidades de C ++, que la tierra ese trabajo realmente dulce que estaban buscando en el banco. Usted # 8242-re un programador en grande en el banco, y # 8242-ve…
C ++: el mecanismo de excepción La próxima vez que usted está examinando un ejemplo de código C ++, echar un vistazo más de cerca a los pasos que el código pasa por manejar una excepción. Cuando se produce un saque de banda, las primeras copias de C ++ el objeto arrojados a…
Hackear: ejemplo de inyección de SQL en un programa en C ++ Inyección de código se produce cuando el usuario atrae a su programa en C ++ para ejecutar alguna pieza de código creado por el usuario. " Qué? Mi programa nunca haría eso "! tu dices. Considere la más común y, por fortuna, más fácil de…
¿Cómo crear una matriz de caracteres en C ++ Los elementos de una matriz en C ++ pueden ser de cualquier tipo. Las matrices de flotadors, dobles, y largos son todos posible- sin embargo, las matrices de caracteres tienen un significado especial.Las palabras humanas y oraciones se pueden…
¿Cómo crear una cadena de caracteres en C ++ Los elementos de una matriz en C ++ pueden ser de cualquier tipo. Las matrices de flotadors, dobles, y largos son todos posible- sin embargo, las matrices de caracteres tienen un significado especial.En muchos casos, son posibles todos los valores…
La matriz de caracteres ASCII de cero Las matrices en C ++ tienen un problema inherente: Nunca se puede saber, con sólo mirar a la matriz, el número de valores se almacenan realmente en él. Conociendo el tamaño de una matriz no es suficiente. Eso te dice cuántos valores de la…
¿Cómo funciona el método java findwithinhorizon? Sin revolcarse en demasiados detalles, así es como la findWithinHorizon (".", 0) .charAt (0) técnica funciona: Java findWithinHorizon método busca cosas en la entrada. Las cosas que el método encuentra depende de las cosas que pone entre…
Cómo dar formato a las fechas en java Java es un lenguaje de programación versátil. Si utiliza el Encadenar() método para convertir una LocalDate a una cadena, se obtiene una cadena como 10/31/2014. ¿Qué pasa si desea mostrar la fecha en un formato diferente, como 10/31/2014 o 31…
Cómo escribir expresiones regulares para codificar con javascript Antes de poder hacer uso de una expresión regular en javascript, es necesario crear un objeto que contiene la expresión. Usted puede escribir expresiones regulares en una de dos maneras:Mediante el uso de una expresión regular literalA…