Hallo, > Die L�sung mit einer Klasse macht nat�rlich nur Sinn um nicht > gr��ere Projekte komplett umstellen zu m�ssen. Der Aufwand > alle Abfragen auf "parametrisiert" umzustellen ist siche > gr��er als die �bergabeparameter vorher schnell durch eine > Klasse zu jagen. > > Bei neuen Projekten ist es sicher am sinnvollsten von > vornherein parametrisierte Abfragen zu verwenden.
das sehe ich nicht so. Auch bei vorhandenen Projekten, nehmen wir jetzt mal in ASP, lassen sich auch einfache Selects, Inserts etc. schnell auf Parameter umstellen. Aus "Select bla From tabelle where ups = " & meineVariable wird "Select bla From tabelle where ups = @meineVar", dazu noch das Command-Objekt drumrumgebastelt und fertig. Der Aufwand ist hier imho genauso gro�, als wenn man alle verwendeten Variablen vorher noch validiert, bzw. diese Validierung einbaut. > 3. Webserver Sicherheit > Eigener IUSR_XXX f�r jedes Web. Rechte auf NTFS auf IUSR_XXX anpassen. > ... ? Wozu sollte das gut sein? > 7. Verschl�sselung > Verschl�sselung von Daten. Zum Beispiel Passw�rter in der DB > mit MD4, MD5, SHA-1 usw. Macht zwar das Handling nicht besonders einfach, w�rde ich aber bei kritischen Sachen in jedem Fall verwenden, insbesondere bei Passw�rtern. > 4. BS Sicherheit > Patches usw. Automatische Updates sollten immer und �berall aktiviert sein. > 5. Firewall, DMZ usw. > Hardware, Software? Wo sinnvoll? W�rde mich auch interessieren... sinnig ist es auf jeden Fall nen Virenscanner laufen zu lassen. Zus�tzlich �ber die TCP/IP-Config bzw. �ber die IP-Sicherheitsrichtlinien alle Ports dicht machen, bis auf die, die man wirklich braucht (80, 25, 21, 443, 3389 etc.). Hat sich k�rzlich bei uns als sinnvoll erwiesen, als irgendein Chinamensch meinte unseren SQL-Server auf 1433 etwas besch�ftigen zu m�ssen. Die Folge war dann ne 100%-Auslastung. > 2. DB Sicherheit > Zum Beispiel MS-SQL Server "SA" Passwort setzen. Wird ja > gerne vergessen bei der Installation ;) > Eigene Benutzer f�r jede DB. Evtl. sogar 2 Benutzer mit > unterschiedlichen Rechten (schreiben / lesen)? Ja... ist es nicht eh so, dass die Passw�rter etc. immer im Klartext �bermittelt werden? Allein von daher sollte man das schon machen. Sollte *hust* Gru�, Thomas http://blogs.dotnetgerman.com/thomas/ _______________________________________________ Coffeehouse Mailingliste, Postings senden an: [EMAIL PROTECTED] An-/Abmeldung und Suchfunktion unter: http://www.glengamoi.com/mailman/listinfo/coffeehouse
