Plateforme Level Extreme
Abonnement
Profil corporatif
Produits & Services
Support
Légal
English
Filtros
Message
De
24/08/2004 14:13:57
Hilmar Zonneveld
Independent Consultant
Cochabamba, Bolivie
 
 
À
24/08/2004 14:08:35
Alex Feldstein
Floride, États-Unis
Information générale
Forum:
Visual FoxPro
Catégorie:
Gestionnaire de rapports & Rapports
Titre:
Re: Filtros
Divers
Thread ID:
00935870
Message ID:
00936057
Vues:
24
>Demas está decir que Hilmar menciona "un pequeño riesgo"
>El riesgo no es pequeño. Es un agujero de seguridad enorme.

Bueno, pensé que un exploit dependería de que el usuario tenga conocimientos sobre la estructura del programa. De todos modos, sí abre posibilidades preocupantes.

>Siempre debes validar lo que el usuario entre en ese tipo de expresiones. Nunca debes usar lo que el usuario entre sin filtrar y /o limitar.

Me parece que para una verificación rápida, bastaría con type([expresión del usuario]) # "U". Lamentablemente, con eso no tendrá acceso a ninguna UDF - incluyendo algunas que, a lo mejor, querrás que utilice. Discriminar a qué funciones o métodos el usuario tendrá acceso, y a cuáles no, ya se hace mucho más difícil.
Difference in opinions hath cost many millions of lives: for instance, whether flesh be bread, or bread be flesh; whether whistling be a vice or a virtue; whether it be better to kiss a post, or throw it into the fire... (from Gulliver's Travels)
Précédent
Suivant
Répondre
Fil
Voir

Click here to load this message in the networking platform