Oracle Application Express Tipps für Entwicklung und ... - Trivadis
Oracle Application Express Tipps für Entwicklung und ... - Trivadis
Oracle Application Express Tipps für Entwicklung und ... - Trivadis
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
� Es ist bei einem APEX Projekt oftmals nicht abzusehen, wie wichtig die<br />
Anwendung später sein wird <strong>und</strong> wie kritisch sie betrieben wird<br />
� Session State Protection nachträglich einzubauen ist mit viel Aufwand<br />
verb<strong>und</strong>en<br />
Alle Texte, die an den Browser zurückgegeben werden, sollten escaped werden,<br />
damit eventuell enthaltener JavaScript-Code nicht durch den Browser interpretiert<br />
wird. Dazu können Sie die Formularelemente vom Typ “Nur Anzeigen” durch den<br />
Typ “Nur Anzeigen (Escape bei Sonderzeichen, hat keinen Speicherstatus)”<br />
ersetzen.<br />
Wenn eine PL/SQL-Prozedur mit htp.p einen Text an den Browser zurückgibt, ,<br />
sollte das wie folgt umgesetzt werden:<br />
htp.p(htf.escape_sc(v('SOME_ITEM')));<br />
Nach der Erstellung sind alle Spalten in einem tabellarischen Formular auf<br />
„Standard Spalte“ gesetzt. Auch hier ist die Einstellung Display as text (escape<br />
special characters) zu wählen.<br />
Gr<strong>und</strong>:<br />
� Schutz vor den sogenannten Cross-Site-Scripting-Attacken (XSS)<br />
Alle Elemente vom Typ Passwort sollten nicht in der Benutzersession gespeichert<br />
werden. Dazu sollte ein Passwortfeld vom Typ Kennwort (Zustand wird nicht<br />
gespeichert) verwendet werden. Alle Elementwerte sollten verschlüsselt in der<br />
Benutzersession gespeichert werden. Dazu wird das Elementattribut Wert<br />
verschlüsselt in Sessionzustand speichern auf "Ja" gesetzt.<br />
Gr<strong>und</strong>:<br />
� Die Werte der Elemente können ausserhalb APEX so nicht ausgelesen werden<br />
Es sollte in der folgenden Reihenfolge auf Elementwerte zugegriffen werden:<br />
1. :MY_ITEM (kann in APEX verwendet werden)<br />
2. v('MY_ITEM') (kann in der Datenbank verwendet werden)<br />
Nur wenn die obengenannten Zugriffsarten nicht funktionieren, ist die Notation<br />
&MY_ITEM. bei unkritischen Daten erlaubt.<br />
Gr<strong>und</strong>:<br />
� Schutz gegen SQL-Injection<br />
<strong>Oracle</strong> <strong>Application</strong> <strong>Express</strong> <strong>Tipps</strong> <strong>für</strong> <strong>Entwicklung</strong> <strong>und</strong> Betrieb 26