18. Способы борьбы: дизайн
приложения
• не хранить секреты в открытом виде
• принцип минимальных привилегий
• использовать параметрезированные запросы
• использовать хранимые процедуры
• сообщения об ошибках не должны содержать
служебной информации
24. Способы борьбы: code review
• Экспертиза исходных текстов, как метод
тестирования безопасности и защищённости
программных продуктов
• http://software-testing.ru/library/testing/security/109
• http://securitywiki.ru/PraktikaJekspertizaIsxodnyxTekstov
?v=oqu
26. Способы борьбы: code review
• Проверка входных данных
• Не использовать динамический sql (использовать
хранимые процедуры и параметризированные
запросы)
• Минимальные привилегии
• Секретные данные (поток данных)
27. Способы борьбы: code review
• Java EE – использовать PreparedStatement()
• .NET – использовать параметризованные запросы
при помощи SqlCommand() or OleDbCommand()
• PHP – использовать PDO с строго типизированными
парамтризованными запросами (использование
bindParam())
• SQLite – использовать sqlite3_prepare()
• и т.п.
• https://www.owasp.org/index.php/SQL_Injection_Prevent
ion_Cheat_Sheet