Archief - Beveiliging website

Ik heb enkele kleine vraagjes over de beveiliging van een ASP.NET webpagina.

1: Ik gebruik een MYSql database en om te verbinden met die database staat er in de web.config een regeltje met daarin de databasenaam, paswoord en locatie. Hoe zorg ik ervoor dat deze zeer gevoelige informatie niet zichtbaar is?



2: Wat zijn de meest effectieve manieren om SQL injectie tegen te gaan. Momenteel heb ik volgende beveiligingen:

1: validatie (geen ", ', =, etc tekens in textbox)
2: HTMLEncode (zodat ",<, > etc naar hun HTML code omgezet worden)
3: Ik werk met Connectionstrings die paramterlists gebruikt.
4: De standaard scriptbeveiliging van ASP.NET (die een exception gooit) staat true.


Alvast bedankt!

is het dan mogelijk om op gelijk welke manier aan uw web.config te raken van buiten uw server dan? Zou wel sterk zijn denk ik dan... Uw beveiliging is wel voldoende zo denk ik.

Kunt hem ook in uw web.ini steken en enigsinds gaan encrypten.

Het is zeker niet onmogelijkt, laat ons het zo zeggen. Maar ondertussen heb ik ontdekt dat visual studio een encryptie bevat voor dergelijke gegevens dus dat zit al oke.

Wat de beveiliging van mijn textboxen betreft, ik denk toch ook dat ik zo wel safe zit... iemand die nog andere miraculeuze zaken heeft mag het altijd melden

- Die scriptbeveiliging filtert al heel veel gevaarlijke input weg hoor.
- Als je je database queried natuurlijk parameters gebruiken en niet zelf je where clause enzo samenstellen.
- Je kan bepaalde delen van je web.config encrypteren, dat moet je zeker wel doen, zeker als de server niet onder je eigen beheer valt.

Kwa security zit je dan al wel redelijk goed hoor.