Foxtable(狐表)用户栏目专家坐堂 → 总觉得这个小问题,存在大隐患,发上来讨论


  共有3127人关注过本帖树形打印复制链接

主题:总觉得这个小问题,存在大隐患,发上来讨论

帅哥哟,离线,有人找我吗?
瞩望星空
  1楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:二尾狐 帖子:531 积分:4727 威望:0 精华:0 注册:2013/4/20 20:08:00
总觉得这个小问题,存在大隐患,发上来讨论  发帖心情 Post By:2014/12/31 14:42:00 [只看该作者]

如果开发出来的应用系统是网络版,少不了使用外部数据源(表)存取用户名与密码等信息。

如果按帮助中“外部数据源与用户管理”一节处理,则存在大隐患!
虽然用户密码是加密处理的,但存在可以直接拷贝、使用“Config”列内容的隐患。
以ACCESS外部数据源为例,而这个外部数据库,还是容易被网络用户篡改。
如果建立二个“TEST1”、“TEST2”的用户1与用户2,分组、密码分别为“1”、“2”。
这样,用户2想仿用户1的分组权限,只要新建一个“用户3”,并把自已的“Config”列内容拷贝到新增行的“Config”列,并修改。
并把Group*2的“2” 改为“1”,这时,用户3的分组权限就是“1”
可以通过Output.Show(User.Group)验证。
同样,要仿用户名也是简单的。

造成此现象估计是狐表对内部用户进行密码加密时,只加密了密码部分。

要解决此问题,改动也简单,狐表内部用户密码加密时,应该把用户名也参与进来。这样,不同的用户名,加密后的字符串不一样了。
再直接拷贝“Config”列内容就无效。

 回到顶部
帅哥哟,离线,有人找我吗?
Bin
  2楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:贵宾 帖子:35433 积分:178524 威望:0 精华:3 注册:2013/3/30 16:36:00
  发帖心情 Post By:2014/12/31 14:47:00 [只看该作者]

直接隐藏这个表,数据源文件加密

 回到顶部
帅哥哟,离线,有人找我吗?
瞩望星空
  3楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:二尾狐 帖子:531 积分:4727 威望:0 精华:0 注册:2013/4/20 20:08:00
  发帖心情 Post By:2014/12/31 14:50:00 [只看该作者]

在用户登录前,项目能对这个外部数据库文件进行解密处理吗?

还觉得狐表对密码加密时,包括用户名,这样处理理简单。

 回到顶部
帅哥哟,离线,有人找我吗?
有点甜
  4楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:版主 帖子:85326 积分:427815 威望:0 精华:5 注册:2012/10/18 22:13:00
  发帖心情 Post By:2014/12/31 15:56:00 [只看该作者]

 不行。

 

 控制这个表不被允许被别人操作即可。


 回到顶部
帅哥哟,离线,有人找我吗?
瞩望星空
  5楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:二尾狐 帖子:531 积分:4727 威望:0 精华:0 注册:2013/4/20 20:08:00
  发帖心情 Post By:2014/12/31 16:52:00 [只看该作者]

甜总,能讲一下如何实现防止别人修改月用户数据库的方法吗? 祝大家新年快乐!

 回到顶部
帅哥哟,离线,有人找我吗?
有点甜
  6楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:版主 帖子:85326 积分:427815 威望:0 精华:5 注册:2012/10/18 22:13:00
  发帖心情 Post By:2014/12/31 16:58:00 [只看该作者]

 用户表单独做一个数据库。这个数据库的用户名和密码,不要告诉任何人。

 回到顶部