#0
by vde69
кто не в курсе, инъекция это самый распространенный взлом веб сайтов, а интересно для 1с это актуально? банально можно-ли сак сформировать параметр запроса, что бы он проскочил через сервер 1с и модифицировал конечный запрос 1с.... если это так, то в 1с можно юзать прямые инсерты и дропы?
#1
by Бубка Гоп
*шепотом* а можно обсуждать темы которые 1с считает нарушением лицензионного соглашения?
#2
by vde69
это обсуждение безопасности... в условиях много фирменого учета, фреша, публикуемых приложений, сервисов это должно быть понятно...
#3
by упс
1с обращается к sql server'у, в основном через sp_executesql, которая как раз-таки и рекомендуется к использованию для защиты от инъекций. Так что всё хорошо там в этом плане.
#4
by Asmody
А ты где-то видел в коде 1С "прямые" запросы к SQL? И потом, там же своя "прокладка" dbengine.
#5
by Asmody
На самом деле а) либо никто этим серьёзно не занимался, б) либо там действительно всё хорошо. Возможно, в Softpoint больше смогут рассказать. Они как раз в этом месте собаку с будкой съели.
#7
by oslokot
Другими словами 1с можно выставлять голой попой в интернет? Например, опубликованную на веб-сервере. Пароли только посерьезней и кроме ддоса бояться нечего?
#8
by фобка
у меня на семере были прямые запросы к базе и несколько мест из которых юзер на них выходил (например поиск пэлмента справочника по части идентификатора), приходилось дописывать заглушки по ключевым словам
#10
by фобка
Но, думаю на прямых запросах к базе 7.7 если используются, тоже могут быть выходы (там где юзатся like, например), ибо там полноценный t-sql. У восьмерки такое невозможно
#11
by xxTANATORxx
вызов сервера для этого и существует на ИТС есть статья как правильно организовывать общие модули, почитай
#14
by Andrewww123
Небольшая модификация запроса возможна, как минимум. Сталкивался с поиском по справочнику, на форме было поле и значение этого поля передавалось в запрос в качестве параметра для конструкции "ПОДОБНО". То есть, можно было добиться добавления своего условия в текст запроса после "ПОДОБНО"
#15
by Господин ПЖ
главное не давать лишнего в правах "юзера от 1с" на скуле и держать shell закрытым
#19
by vde69
банально если в счете в поле БИК вбить что-то типа "(select * from xxx)" по логике такой параметр будет преобразован в строку и передан в запрос типа этого exec sp_executesql N'SELECT T9._LineNo10807, T9._Fld10808, T9._Fld10809, T9._Fld10810, 0 AS SDBL_IDENTITY FROM dbo._Document9508_VT10806 T9 INNER JOIN dbo._Document9508 T10 ON T10._IDRRef = T9._Document9508_IDRRef WHERE T10._IDRRef = AND T10._Version <> @P2 ORDER BY 5 ASC, T9._LineNo10807',N' varbinary,@P2 varbinary(8000)',0x8981D7AB49B165B943086A3CB436BB3F,0x000000000212EC2C здесь мы видим, что параметры передаются как и положено им в виде параметров, но вот если в запросе будет текстовое условие типа ON T10._Fld10809 = '12w22222' то сабж возможен как минимум на уровне формирования текста запроса (динамическая сборка запроса)
Тэги: 1С 8
Ответить:
Комментарии доступны только авторизированным пользователям
Похожие вопросы 1С
В этой группе 1С
- ТЗ на перенос остатков
- В конструкторе форматной строки получить дробную часть
- Как спозиционироваться на текущем элементе списка в поле элемента при выборе?
- C++, создаю обертку для winapi (создание окна)
- открыть форму при старте конфигурации
- Как получить строковое представление типа
- (8.2) УФ - вывести список табличной части
- Эмодзи в 1С, возможно ли?
- Использование веб-сервиса провайдера EDI
- Общий список нескольких видов документов на управляемой форме
- 1С Предприятие 8.2 УТ 10.3 Как установить характеристики
- УТ 10.3 Разная наценка для разных групп номенклатуры
- Построитель запроса. Сворачивание полей
- Ошибка при работе с сервисом (подробнее см. Журнал регистрации)
- ПолеHTMLДокумента и Скролл
- 1с документооборот 2.0 Внутренние документы Права
- Восстановление движения по характеристикам в управленческом учете 1С УПП 8.2
- Внешний набор данных в СКД
- Неверный расчет среднедневного заработка (ЗУП 2.5)
- Изменить представление даты в ТЗ 1с 8 (не уф)