Skyldes sikkerhedshuller altid dårlig programmering?

I sin blog fra 21. februar skriver Klaus Agnoletti om sikkerhedshuller og viser i den forbindelse en stribe fra tegneserien xkcd, hvor en mor har givet sin dreng et navn, der ved indtastning i skolens database sletter alle studenteroplysninger. En af moralerne i både tegneseriestriben og blogindlægget er, at de fleste sikkerhedshuller skyldes sjusket programmering – man har undladt at fjerne indlejret SQL kode fra indtastet data, man har ikke checket for bufferoverløb, osv. Det er ganske givet, at en omhyggelig programmør kan undgå den slags sikkerhedshuller i sin kode. Men det burde egentlig ikke være nødvendigt for programmøren at bekymre sig om indlejret SQL kode eller bufferoverløb – det er velkendte problemer, som er enkle at løse i design og implementering af programmeringsprog og biblioteker. Lad os starte med SQL. SQL er et domænespecifikt sprog, som ofte er implementeret som et indlejret sprog – dvs., at det er lavet som en samling af procedurer, makroer og variabler i et andet sprog. Da SQL har en struktureret syntaks, som ikke let lader sig modellere med metodekald og lignende, angiver man ofte i SQL-implementeringer hele SQL-kommandoer som tegnfølger (strings). Det gør koden forholdsvis nem at skrive og læse (kommandoerne ser ud som i databasebogen), men det har nogle ulemper:

Læs mere på version2.dk.

Ledelse i virksomheden

Er du en god leder? Kræver din virksomhed at medarbejdere og ledere udvikler sig hele tiden? Så besøg lederudvikling og hold dig uptodate.

29.02.2008. 10:41