5p Applikationer för internet färdig

Jag ser gärna att du fixar till så användarens indata inte kan vara inkorrekt. Om man exempelvis skriver id:t ' (en "enkelfnutt") så får man ett felmeddelande. Detta kanske går att utnyttja för att skapa en SQL-injection och det är obra.

Annars juste!

Visa signatur

...man is not free unless government is limited. There's a clear cause and effect here that is as neat and predictable as a law of physics: As government expands, liberty contracts.

Rapportera Redigera

Citera flera Citera

2005-12-04 19:54

Permalänk

CyberVillain

Avstängd

Plats: Stockholm
Registrerad: Dec 2003

●

inte bra får fixa

edit: har redan fixat " och '... var är det du får felmelande?

edit: menar du vid url params?

Senast redigerat 2005-12-04 20:14

Visa signatur

Min blogg

Rapportera Redigera

Citera flera Citera

2005-12-05 13:38

Permalänk

Pucka

Medlem

Registrerad: Jan 2005

●

inte så bra att man kan skriva minus i antal på olika artiklar. summan man ska betala blir då negativ. men det kanske sätts in pengar på kontot då istället ?

Rapportera Redigera

Citera flera Citera

2005-12-05 13:42

Permalänk

CyberVillain

Avstängd

Plats: Stockholm
Registrerad: Dec 2003

●

det är väll i kundens intresse att ordern blir rätt

edit: hade inget bättre för mig så jag lade till en Math.Abs() på antal paramtern..

Senast redigerat 2005-12-05 14:33

Visa signatur

Min blogg

Rapportera Redigera

Citera flera Citera

2005-12-05 15:30

Permalänk

alexandersson

Medlem

Plats: Titta bakom dig.
Registrerad: Sep 2005

●

Citat:

Ursprungligen inskrivet av Psionicist
Jag ser gärna att du fixar till så användarens indata inte kan vara inkorrekt. Om man exempelvis skriver id:t ' (en "enkelfnutt") så får man ett felmeddelande. Detta kanske går att utnyttja för att skapa en SQL-injection och det är obra.

Annars juste!

Tror inte det. Felet ligger i att han prövar konvertera en: ' till en int.
Line 20: holder.Controls.Add(tableFormater.GetMovieDetailTable(int.Parse(GetParam("id"))));

Så någon SQL injection är inte möjlig.

Rapportera Redigera

Citera flera Citera

2005-12-05 16:51

Permalänk

CyberVillain

Avstängd

Plats: Stockholm
Registrerad: Dec 2003

●

sant.. skulle kunna fixa en try / catch. MEN användaren ska inte in och rådda i url parametrarna... skulle skunna skriva om min GetParam funktion så att man specifirar vilken typ av data den ska returnera så kan try / catch funktionen ligga där...

Visa signatur

Min blogg

Rapportera Redigera

Citera flera Citera

2005-12-05 17:00

Permalänk

Pucka

Medlem

Registrerad: Jan 2005

●

Citat:

Ursprungligen inskrivet av CyberVillain
det är väll i kundens intresse att ordern blir rätt

edit: hade inget bättre för mig så jag lade till en Math.Abs() på antal paramtern..

man ska aldrig utgå från att kunden gör som programmeraren alltid tänkt

Rapportera Redigera

Citera flera Citera

2005-12-05 17:09

Permalänk

CyberVillain

Avstängd

Plats: Stockholm
Registrerad: Dec 2003

●

prova att skriva in ett negativt tal

Visa signatur

Min blogg

Rapportera Redigera

Citera flera Citera

2005-12-05 17:12

Permalänk

Pucka

Medlem

Registrerad: Jan 2005

●

jo jag såg att du fixade det men det jag ifrågasatte var ditt första svar där du lägger ansvaret på kunden.

Rapportera Redigera

Citera flera Citera

2005-12-05 17:14

Permalänk

Malesca

Medlem

Plats: Stockholm
Registrerad: Sep 2003

●

Citat:

Ursprungligen inskrivet av CyberVillain
MEN användaren ska inte in och rådda i url parametrarna...

:> Det måste man alltid räkna med att de gör. Utgå från att användaren är dum, lat och evil, så kommer man långt.

Däremot är det förstås överdrivet artigt att catcha och ge ett människovänligt felmeddelande, om användaren gör något som uppenbart kräver att den manuellt redigerar querysträngen. Sålänge man ser till att de inte kan förstöra något för andra än sig själv.

Visa signatur

Personlig webbplats Talman2Batmanizer Slänko Remindera
Greasemonkey-script Artwork of Johanna Öst