Oracle Application Express Tipps für Entwicklung und ... - Trivadis

� Es ist bei einem APEX Projekt oftmals nicht abzusehen, wie wichtig die
Anwendung später sein wird und wie kritisch sie betrieben wird
� Session State Protection nachträglich einzubauen ist mit viel Aufwand
verbunden
Alle Texte, die an den Browser zurückgegeben werden, sollten escaped werden,
damit eventuell enthaltener JavaScript-Code nicht durch den Browser interpretiert
wird. Dazu können Sie die Formularelemente vom Typ “Nur Anzeigen” durch den
Typ “Nur Anzeigen (Escape bei Sonderzeichen, hat keinen Speicherstatus)”
ersetzen.
Wenn eine PL/SQL-Prozedur mit htp.p einen Text an den Browser zurückgibt, ,
sollte das wie folgt umgesetzt werden:
htp.p(htf.escape_sc(v('SOME_ITEM')));
Nach der Erstellung sind alle Spalten in einem tabellarischen Formular auf
„Standard Spalte“ gesetzt. Auch hier ist die Einstellung Display as text (escape
special characters) zu wählen.
Grund:
� Schutz vor den sogenannten Cross-Site-Scripting-Attacken (XSS)
Alle Elemente vom Typ Passwort sollten nicht in der Benutzersession gespeichert
werden. Dazu sollte ein Passwortfeld vom Typ Kennwort (Zustand wird nicht
gespeichert) verwendet werden. Alle Elementwerte sollten verschlüsselt in der
Benutzersession gespeichert werden. Dazu wird das Elementattribut Wert
verschlüsselt in Sessionzustand speichern auf "Ja" gesetzt.
Grund:
� Die Werte der Elemente können ausserhalb APEX so nicht ausgelesen werden
Es sollte in der folgenden Reihenfolge auf Elementwerte zugegriffen werden:
1. :MY_ITEM (kann in APEX verwendet werden)
2. v('MY_ITEM') (kann in der Datenbank verwendet werden)
Nur wenn die obengenannten Zugriffsarten nicht funktionieren, ist die Notation
&MY_ITEM. bei unkritischen Daten erlaubt.
Grund:
� Schutz gegen SQL-Injection
Oracle Application Express Tipps für Entwicklung und Betrieb 26