Foxtable(狐表)用户栏目专家坐堂 → foxtable安全性讨论


  共有2550人关注过本帖树形打印复制链接

主题:foxtable安全性讨论
帅哥哟,离线,有人找我吗?
kgdce
   1楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:三尾狐 帖子:623 积分:6825 威望:0 精华:0 注册:2013/12/17 1:00:00 		foxtable安全性讨论  发帖心情 Post By:2021/7/27 20:52:00 [只看该作者]

今天,去一个搞开发程序的朋友处,讨论用foxtable开发的客户端是否安全。这个朋友说,先用反编译软件看看客户端,结果一看,代码都是.net的,写的代码也能看清楚。
首先,给我指出的就是,sql语句不能拼接;其次,指出数据源虽然用web的,但是可以模仿数据源传数数据行为,对数据库进行攻击。最后告诉我,要解决三个方面的问题,一是通过http协议传输json格式到中间层,由中间层和数据库交换数据;二是不要在客户端写sql语句,将sql语句放入服务端;三是sql语句都不能拼接。
对于安全,开发程序之处就要考虑,不知大家如何预防的。
[此贴子已经被作者于2021/7/27 20:52:43编辑过]
 回到顶部
帅哥哟,离线,有人找我吗?
有点蓝
   2楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:超级版主 帖子:107757 积分:548124 威望:0 精华:9 注册:2015/6/24 9:21:00 		  发帖心情 Post By:2021/7/27 21:01:00 [只看该作者]

推荐使用参数化sql:http://www.foxtable.com/webhelp/topics/3266.htm

不要在代码里明文使用密码
 回到顶部
帅哥哟,离线,有人找我吗?
kgdce
   3楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:三尾狐 帖子:623 积分:6825 威望:0 精华:0 注册:2013/12/17 1:00:00 		  发帖心情 Post By:2021/7/27 21:11:00 [只看该作者]

刚才看了其他关于安全性的讨论,用ukey是一个办法,将初始的值,包括加载网页数据源的用户名、密码等加密存储在ukey上。客户端运行时读ukey才行,这样是不是安全性就高很多呢?
将关键代码也写入到ukey中。
[此贴子已经被作者于2021/7/27 21:12:17编辑过]
 回到顶部
帅哥哟,离线,有人找我吗?
kgdce
   4楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:三尾狐 帖子:623 积分:6825 威望:0 精华:0 注册:2013/12/17 1:00:00 		  发帖心情 Post By:2021/7/27 22:13:00 [只看该作者]

去网上搜了一下,foxtable破解版,发现有好几个版本,还说是完美破解,真的是破解了吗?真心希望破解不了。
[此贴子已经被作者于2021/7/27 22:13:12编辑过]
 回到顶部
帅哥哟,离线,有人找我吗?
chen37280600
   5楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:六尾狐 帖子:1266 积分:7849 威望:0 精华:4 注册:2017/12/31 14:53:00 		  发帖心情 Post By:2021/7/28 9:01:00 [只看该作者]

它说的方法,其实就是前后端分离的web开发模式,搞成这样已经完全把exe客户端当浏览器用了

那还不如直接就上bs架构,所有数据和sql都是服务器包揽,通过json与客户端交互,客户端只做展示和交互
 回到顶部
帅哥哟,离线,有人找我吗?
kgdce
   6楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:三尾狐 帖子:623 积分:6825 威望:0 精华:0 注册:2013/12/17 1:00:00 		  发帖心情 Post By:2021/7/28 11:24:00 [只看该作者]

看样子,真想安全,就要前后端分离了。但客户端还是有必要的,一些在客户端处理好的业务数据可以用http上传。

 回到顶部
RSS2.0 | Xhtml无图版 | Xslt无图版 Copyright © 2000 - 2018 foxtable.com Tel: 4000-810-820 粤ICP备11091905号
   Powered By Dvbbs Version 8.3.0
页面执行时间 0.03418 秒, 4 次数据查询