Jump to content
uniGUI Discussion Forums

dbf_usr

uniGUI Subscriber
  • Content Count

    38
  • Joined

  • Last visited

Community Reputation

0 Neutral

About dbf_usr

  • Rank
    Newbie

Contact Methods

  • Skype
    d.dubrovin@hotmail.com

Profile Information

  • Gender
    Male
  • Location
    Ukraine

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Спасибо огромное!!! Все работает!
  2. Это не решаемая задача?
  3. Если не продлить подписку компоненты переустановить возможно? Там при каждой установке получается ключ с портала, он будет приходить после окончания подписки? И как переустановить систему на компьютере без интернета?
  4. Использую тему: "triton.modified" Project_TEst.zip
  5. Исправил. Как все таки изменить цвет окантовки?
  6. Нет, купленную.
  7. Как изменить цвет окантовки окна? Делаю так - не меняется. Где я не прав - подскажите пожалуйста. Использую: FMSoft_uniGUI_Professional_1.90.0.1496 ._zborders .x-window-body-default { border-color: #F5F5F5; border-width: 1px; border-style: solid; background: #fff; color: #000; font-size: 13px; font-weight: 300; font-family: 'Open Sans', 'Helvetica Neue', helvetica, arial, verdana, sans-serif; } Всем за ранее спасибо!
  8. Подвержена. Просто Вы не проводили эксперименты. А я увидел своими глазами что можно почистить таблицы к примеру или удалить объекты базы. Но это при определенных условиях... Увидел = проделал своими руками. Это при условии что доступы на уровне БД это позволяют сделать + если запрос формируется в приложении: Query1.SQL:='Select * From...' Сейчас тестирую макросы, передаю запрос а потом подставляю параметры. Проверю - отпишусь. Собственно для этого и смотрю что реально прилетает на сервер...
  9. "Внедрение SQL-кода (англ. SQL injection) — один из распространённых способов взлома сайтов и программ, работающих с базами данных, основанный на внедрении в запрос произвольного SQL-кода." https://ru.wikipedia.org/wiki/Внедрение_SQL-кода для примера, если в UniEdit, где пользователь должен ввести имя пользователя или пароль ввести следующее " ' UNION DELETE FROM users *; и если пользователь угадает название таблицы, то можно остаться вообще без данных... Это и есть SQL Injection. Теперь собственно правильный вопрос: поскольку очень часто приходится собирать запросы в динамике то очень удобно использовать конструкцию типа UniQuery1.sql:='Select * from ........' и подставлять прямо в запрос значения к примеру из UniEdit и это очень опасно, по описаной выше причине. Можно собрать на лету запрос с параметрами, запихнуть его в UniQuery, а потом присваивать параметры, это долго и много кода - гораздо больше. Ну есть еще путь все выписать UDF но их придется писать под каждый случай десятками или универсальную на десять страниц, что тоже не правильно. Отсюда вопрос предусмотрена ли защита в компонентах от SQL Injection и как ею можно воспользоваться? К примеру бывает реализация отлова запроса в строке, бывает экранирование встроенного запроса в строке, что бы он воспринимался как текст, а не часть запроса. Мой вопрос понятен?
  10. Вот нашел старую ветку: http://forums.unigui.com/index.php?/topic/1407-sql-injection/ с тех пор что-то изменилось в компонентах?
  11. Интересует есть ли в UniGUI защита от SQL injection? И если есть то где об этом читать в доке или может кто краткий примерчик бросит. Если нет таковой, то поделитесь опытом кто как решал проблему. Всем заранее спасибо!
  12. поставил в начале процедуры: UniMainModule.EnableSynchronousOperations:=true; выполняется по прежнему не понятно: при трех совпадающих условиях - выводит только первое сообщение, остальные игнорирует.
  13. Выводит по прежнему только последнее сообщение.
×