---

Hej Alex og alle.

I forbindelse med test af et system, er jeg endnu engang, stødt på
inkompetente forsøg på at undgå sql injection (clientside spærring).

Jeg har ikke lige tid til at læse OSS'en, så jeg vil bare lige spørge:
Er der et afsnit om fundamental databaseprogrammering ( parameteriserede
queries(.
Hvis Nej:
Er der interesse for at få lavet sådant et, jeg vil meget gerne bidrage.

(Jeg har extremt travlt, så jeg har måske ikke tid til at følge op, men det
bliver ikke glemt)

--

Med venlig hilsen/Best regards
Stig Johansen

---

Stig Johansen <stig.johansen@udvikling.it> wrote:
> I forbindelse med test af et system, er jeg endnu engang, stødt på
> inkompetente forsøg på at undgå sql injection (clientside spærring).

Du maa i gang med at skrive retningslinier for udvikling i jeres
virksomhed. Hvis det er interne udviklere der laver fejlen maa du saelge
ideen til ledelsen og faa dem til at indse at de kan spare penge ved at
udvikle softwaren korrekt foerst gang. Hvis det er eksterne udviklere
der laver fejlene kan jeg raade dig til at faa ledelsens stoette til at
skrive disse slags sikkerhedskrav ind i kontrakten. Evt. fejl der bliver
fundet skal naturligvis rettes paa leverandoerens regning og der kan
maaske blive tale om et nedslag i prisen. Det er een maade at faa en
intern sikkerhedsafdeling til at "give penge."

Der findes en del resourcer du kan tage ideer til saadan retningslinier
fra, blandt andet David Wheeler's Secure Programming, Les Hatton's Safer
C og Solid Software samt Adam Shostack's gamle Code Review side. De
fleste af disse er naevnt i OSS'ens videre laesning.

Jeg mener ikke et saa stort og specifikt emne hoerer til i OSS'en. Det
er ikke uden grund at der er skrevet adskellige boeger om emnet.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Hej.

"Alex Holst" <a@mongers.org> wrote in message
news:12oopa.f45.ln@miracle.mongers.org...
> Stig Johansen <stig.johansen@udvikling.it> wrote:
> > I forbindelse med test af et system, er jeg endnu engang, stødt på
> > inkompetente forsøg på at undgå sql injection (clientside spærring).
>
> Du maa i gang med at skrive retningslinier for udvikling i jeres
> virksomhed. Hvis det er interne udviklere der laver fejlen maa du saelge
> ideen til ledelsen og faa dem til at indse at de kan spare penge ved at
> udvikle softwaren korrekt foerst gang. Hvis det er eksterne udviklere
> der laver fejlene kan jeg raade dig til at faa ledelsens stoette til at
> skrive disse slags sikkerhedskrav ind i kontrakten. Evt. fejl der bliver
> fundet skal naturligvis rettes paa leverandoerens regning og der kan
> maaske blive tale om et nedslag i prisen. Det er een maade at faa en
> intern sikkerhedsafdeling til at "give penge."

Jeg er helt enig med dig, men det er en lang og besværlig process. Lang og
besværlig fordi ledelses målgruppen er Staten.
Staten ønsker ikke at egenudvikle, men køber tit via udbud. Det er i sig
selv en lang process, fordi leverandørerne efterfølgende fortolker krav
punktvis, og ikke i sammenhæng(amanda - syndromet).
Når så (bemærk ikke Hvis) systemet ikke lever op til forventningerne, skal
man til at søge hjælp i kravspec'en, for at forsøge at redde situationen.

Det var en kort redegørelse for processen, og min rolle p.t. er at hjælpe
VTU og ITST med opfølgning på forventninger,krav,leverancer,kvalitetssikring
samt skabe 'ammunition' til videre forhandlinger.

> Der findes en del resourcer du kan tage ideer til saadan retningslinier
> fra, blandt andet David Wheeler's Secure Programming, Les Hatton's Safer
> C og Solid Software samt Adam Shostack's gamle Code Review side. De
> fleste af disse er naevnt i OSS'ens videre laesning.

Tak for henvisningerne, men jeg har ikke lige behov for læsning.

> Jeg mener ikke et saa stort og specifikt emne hoerer til i OSS'en. Det
> er ikke uden grund at der er skrevet adskellige boeger om emnet.

Jeg er ikke ude på at lave overordnede retningslinier, det var mere en
tanke, der opstod fordi jeg naturligvis følger med i hhv. Valus-projektet
(skide godt gået), samt Harald-nyborg projektet.

Harald nyborg kan klares med en sætning: Brug altid parameteriserede
queries.
Valus kan klares med en sætning: Tilføj altid ' and where userid=logonid) i
statements.

(Til dig der ikke kender til databaseprogrammering, håber jeg, at du
alligevel kan se det latterligt lave kompetenceniveau).

--

Med venlig hilsen/Best regards
Stig Johansen
Stig.Johansen@udvikling.it.dk
(remove dot dk)

---

Stig Johansen skrev:

> I forbindelse med test af et system, er jeg endnu engang, stødt på
> inkompetente forsøg på at undgå sql injection (clientside spærring).

Det forekommer mig at være mest passende, at du skriver noget generelt
(ikke produktspecifikt) til en OSS for dk.edb.database.

Hvis jeg ville vide noget om database-programmering og sikkerhed i den
forbindelse, ville jeg i alt fald kigge i den gruppe og i OSS for den
gruppe (OSSen for .database findes dog desværre ikke, måske kan du
blive skyld i at den oprettes? OSSen kan sikkert findes plads på use-
net.dk).

> Jeg har ikke lige tid til at læse OSS'en, så jeg vil bare lige
> spørge: Er der et afsnit om fundamental databaseprogrammering
> (parameteriserede queries( Hvis Nej: Er der interesse for at få lavet
> sådant et, jeg vil meget gerne bidrage.

Jeg kender ikke ret meget til databaser og endnu mindre til SQL, når
jeg engang skal lære mig selv om det, ville jeg finde det yderst prak-
tisk fra starten af at lære at lave tingene på en ordentlig sikker
måde (i modsætning til at lære om sikkerhed bagefter), en del af
den læring vil for mig være at deltage i dk.edb.database og naturlig-
vis at læse en eventuel OSS (så jeg undgår at stille trivielle dumme
spørgsmål i gruppen).

Alex vil sandsynligvis ikke have ret meget imod at linke til en OSS
for .database, specifikt i forbindelse med databasesikkerhed.
--
Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
/skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >

---

"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> writes:

> Stig Johansen skrev:
>
> > I forbindelse med test af et system, er jeg endnu engang, stødt på
> > inkompetente forsøg på at undgå sql injection (clientside spærring).
>
> Det forekommer mig at være mest passende, at du skriver noget generelt
> (ikke produktspecifikt) til en OSS for dk.edb.database.

Problemet er et generelt sikkerhedsproblem: manglende kontrol af input.
Der er ikke meget at sige om det, ud over parolen:
Lad for ..... være med at stole på klienten!
Altså, al input fra klienten skal tjekkes i hoved og røv før man lader
det gå videre til andre programmer. Databaser er blot et program der
ofte er forbundet til en webserver, og som i nogle tilfælde (ofte,
tror jeg) er sat op til at kunne alt for meget.

De links Alex Holst henviste til i OSS'en er givetvis glimrende
referencer.

Hvis der er noget at sige om databaser specifikt, så er det nok om
opsætning af dem så de ikke har flere privilegier end de behøver.

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgement merely degrades the spirit divine.'