Hur man undviker kodinjicering i C ++-dummies

Video: 10 Tips på hur du undviker en blind mördare 2024

Den första regeln att undvika kodinjektion in i C ++ -programmen är aldrig någonsin tillåta användarinmatning att behandlas av en tolkare med allmänt ändamål. Ett vanligt fel med SQL-injektion är att programmet accepterar användarinmatning som om det alltid var acceptabelt och lägger in det i en SQL-fråga som sedan skickas till databasmotorn för bearbetning.

Som ett exempel kan ett program som frågar efter användardata på ett datum hackas. Det säkraste och mest användarvänliga tillvägagångssättet är att ge användaren en kalendergrafik från vilken han kunde välja start- och slutdatum. Programmet skulle då skapa ett datum baserat på vad användaren klickade på.

Om detta inte är möjligt bör programmet noggrant kontrollera ingången för att se till att ingången var i rätt format för ett datum, i det här fallet yyyy / mm / dd < - med andra ord fyra siffror följt av ett snedstreck följt av två siffror och ett snedstreck och äntligen ytterligare två siffror. Inget annat bör anses vara acceptabel input. Ibland kan du inte vara så specifik om formatet. Om du måste tillåta användaren att skriva in flexibel text kan du åtminstone undvika specialtecken. Till exempel är det ganska mycket omöjligt att göra SQL-kodinsprutning utan att använda antingen en enkel eller dubbel citat.

Du kan inte infoga HTML-taggar utan att använda ett mindre än () tecken. Eller du kan bara ta tillvägagångssättet att något annat än ASCII-text inte tolereras:

// kolla några strängar för att se till att det är rakt ASCII size_type off = s. find_first_not_of ("abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ01234567890_"); om {av! = sträng:: npos) {cerr << "errorn";}

Denna kod söker strängen

s för ett tecken som inte är ett av tecknen A till och med Z, a till och med z, 0 till 9, eller understrykning. Om det finns ett sådant tecken, avvisar programmet ingången.

Om du bara tillåter de latinska tecknen som visas här, kommer din ansökan inte att användas på många utländska marknader som de som inte använder engelska teckenuppsättningar (som arabiska, kinesiska, hebreiska eller Ryska, för att bara nämna några). Du kanske måste ta det motsatta tillvägagångssättet och leta efter de dåliga karaktärerna.