| 以文本方式查看主题 - Foxtable(狐表) (http://foxtable.com/bbs/index.asp) -- 专家坐堂 (http://foxtable.com/bbs/list.asp?boardid=2) ---- foxtable安全性讨论 (http://foxtable.com/bbs/dispbbs.asp?boardid=2&id=170462) |
| -- 作者:kgdce -- 发布时间:2021/7/27 20:52:00 -- foxtable安全性讨论 今天,去一个搞开发程序的朋友处,讨论用foxtable开发的客户端是否安全。这个朋友说,先用反编译软件看看客户端,结果一看,代码都是.net的,写的代码也能看清楚。 首先,给我指出的就是,sql语句不能拼接;其次,指出数据源虽然用web的,但是可以模仿数据源传数数据行为,对数据库进行攻击。最后告诉我,要解决三个方面的问题,一是通过http协议传输json格式到中间层,由中间层和数据库交换数据;二是不要在客户端写sql语句,将sql语句放入服务端;三是sql语句都不能拼接。 对于安全,开发程序之处就要考虑,不知大家如何预防的。
[此贴子已经被作者于2021/7/27 20:52:43编辑过]
|
| -- 作者:有点蓝 -- 发布时间:2021/7/27 21:01:00 -- 推荐使用参数化sql:http://www.foxtable.com/webhelp/topics/3266.htm 不要在代码里明文使用密码
|
| -- 作者:kgdce -- 发布时间:2021/7/27 21:11:00 -- 刚才看了其他关于安全性的讨论,用ukey是一个办法,将初始的值,包括加载网页数据源的用户名、密码等加密存储在ukey上。客户端运行时读ukey才行,这样是不是安全性就高很多呢? 将关键代码也写入到ukey中。
[此贴子已经被作者于2021/7/27 21:12:17编辑过]
|
| -- 作者:kgdce -- 发布时间:2021/7/27 22:13:00 -- 去网上搜了一下,foxtable破解版,发现有好几个版本,还说是完美破解,真的是破解了吗?真心希望破解不了。 [此贴子已经被作者于2021/7/27 22:13:12编辑过]
|
| -- 作者:chen37280600 -- 发布时间:2021/7/28 9:01:00 -- 它说的方法,其实就是前后端分离的web开发模式,搞成这样已经完全把exe客户端当浏览器用了 那还不如直接就上bs架构,所有数据和sql都是服务器包揽,通过json与客户端交互,客户端只做展示和交互
|
| -- 作者:kgdce -- 发布时间:2021/7/28 11:24:00 -- 看样子,真想安全,就要前后端分离了。但客户端还是有必要的,一些在客户端处理好的业务数据可以用http上传。 |