Domande con tag 'code-security'

1
risposta

Come si fa a garantire che le dipendenze esterne non rappresentino un rischio per la sicurezza?

Usiamo un bel po 'di librerie open source esterne nei nostri progetti, prelevate da Maven Central ecc. Mi chiedevo quale sia la prassi migliore per assicurarti di non introdurre alcun tipo di rischio per la sicurezza utilizzando queste dipend...
posta 27.06.2018 - 11:49
5
risposte

È sicuro usare solo intval per disinfettare l'input dell'utente per un database selezionato?

È sicuro usare solo intval per disinfettare l'input dell'utente per una selezione del database, come nell'esempio seguente? $id = intval($_GET['id']); $query = "SELECT * FROM table WHERE id='$id'";     
posta 01.07.2015 - 19:54
2
risposte

C'è qualche motivo per impedire agli sviluppatori di avere una copia locale del database nella loro macchina?

C'è qualche motivo per avere un server di database di sviluppo dedicato che tutti gli sviluppatori possono usare, cioè non hanno una copia locale del db nelle loro macchine. Abbastanza chiaramente, questo rallenterà lo sviluppo, ma sono curioso...
posta 11.05.2015 - 11:03
1
risposta

Quali sono le pratiche di sicurezza che utilizzo durante la creazione di una libreria che richiede un accesso root di basso livello a determinati dispositivi e file?

Backstory Sto scrivendo una libreria che accede al modulo del kernel, uinput che ti consente di creare o prendere il controllo dei dispositivi in /dev/input/event# e inserire eventi in essi. Un semplice caso d'uso consentirebbe...
posta 13.02.2018 - 21:24
3
risposte

protezione del nome utente e della password del database in un framework web

Nella maggior parte delle applicazioni web che si occupano di un database, è necessario inserire i crediti DB in un file di configurazione o configurazione, come DATABASES variabile in settings.py in Django . Qual è la prassi gener...
posta 13.11.2017 - 06:58
4
risposte

Problemi di sicurezza con l'archiviazione della password in Scripting Languages (VBA)

Il team con cui lavoro gestisce una grande quantità di sondaggi tra i consumatori e i dati delle metriche interne dell'azienda. In primo luogo i dati sono memorizzati in un database e utilizziamo varie piattaforme e per lavorare con tali dati, i...
posta 04.05.2012 - 15:00
1
risposta

L'analisi di un oggetto JSON inviato è sicura?

Ho un'API RESTful, costruita in NODE.js che fa ciò che ti aspetteresti: consuma dati e quindi rende accessibile. Attualmente, i dati inviati al mio server sono dati dei moduli annidati: data[0][username]=... data[0][email]=... data[0][phone]=....
posta 02.04.2014 - 04:18
2
risposte

Come ci si assicura che un'applicazione client .net non sia stata compromessa per aggirare le richieste di autorizzazione?

Abbiamo scritto una semplice applicazione desktop .NET (C #) in Wpf. Abbiamo anche utilizzato WIF (Windows Identity Framework) per ottenere un elenco di attestazioni per l'utente autenticato. Alcuni esempi sono: CanOverrideSalesAmount CanA...
posta 10.09.2014 - 15:09
1
risposta

L'apertura di un motore di template agli utenti è una cattiva idea?

Il mio sito consente agli utenti di creare modelli HTML personalizzati per i loro profili (molto simili a Tumblr e al sistema a tema), e ho scelto il motore di template di Twig per il sito. Tuttavia, non sono sicuro che sia una buona idea dar...
posta 11.11.2015 - 00:37
1
risposta

Come posso rendere un oggetto / classe inaccessibile a Reflection

Sto costruendo un'API per minecraft chiamata Quantum API . Sappiamo tutti che la riflessione può essere usata per fare cose spiacevoli alle classi e persino causare comportamenti indefiniti se usati senza cura. C'è un modo per rendere le cla...
posta 20.06.2015 - 19:44