2010-11-07 09:23
0kommentarer
Den nya koden verkar helt okej, inga oväntade felmeddelanden utöver dom som redan loggats. Den nya koden verkar svara väl efter att ha formats efter den äldre. Men varför bytte jag nu kod? Jo, för det finns några där ute som har problem med att låta bli andras databaser och program genom att "MySQL injekta" programmen.
Detta gör dom via fält som är uppkopplade mot databasen och som antingen returnerar eller lägger in data i den.
Ett format på den koden kan vara i ett lösenordsfält t.ex:
SELECT * FROM tabell WHERE password = '" + textBox1.text + "';";
men i textboxen kan det innehålla vilken kod som helst. Detta är vad vi försöker hindra. Koden kan därför vara:
SELECT * FROM tabell WHERE password = '" hej OR '' = '';
Genom den koden kan dom ta sig in i programmet utan användare.
På samma sätt kan dom ta sig in i databasen och sedan skicka kommandon till den för att ta bort databaser.
Därför har jag nu kodat om alla databasquerys till att använda en säkrare kod och därför motverka att det händer.
Kommer däremot inte längre på programmet nu. Måste ha en server.
Vad som är klart:
1. Koden
2. Designen
3. Ritningar och planer
4. Layouten
5. Dataöverföring
6. Säkerheten
Så nu måste jag bara pröva koden mot servern istället för internt i min dator.
Kommentera