Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Oracle Новый топик    Ответить
 referer в PL/SQL ??? (откуда пришел запрос)  [new]
shelk11
Member

Откуда:
Сообщений: 3
Хочу обратиться к процедуре вывода BLOB написанной на PL/SQL
Обращение идет из tomcat/jsp Мне необходимо контролировать в прцедуре вывода BLOB откуда пришел запрос (в целях безопасности) на вывод ( referer) Как это сделать?
7 окт 08, 22:18    [6276558]     Ответить | Цитировать Сообщить модератору
 Re: referer в PL/SQL ??? (откуда пришел запрос)  [new]
Мутаген
Member

Откуда:
Сообщений: 719
при помощи Servlet API на jsp получить заголовок referer из клиентского запроса и проверять.

Только безопасности проверка реферера не добаит ни разу.
7 окт 08, 23:48    [6276739]     Ответить | Цитировать Сообщить модератору
 Re: referer в PL/SQL ??? (откуда пришел запрос)  [new]
shelk11
Member

Откуда:
Сообщений: 3
Поглядел я литературу - ничего такого как referer в PL/SQL нет

Подойдет ли такой вариант:


1 Страница first.jsp: (фрагмент)

<img src="second.jsp?key=<%=key %>"> (посылка уникального идентификатора записи бд)


2 Страница second.jsp

логика работы:
Инициализация: имя_таблицы , имя столбца с БЛОБОМ итд
Получение key от first.jsp
Проверяет referer (обратиться на нее можно только c first.jsp)
если все ОК
то
redirect на процедуру вывода БЛОБ (как у Кайта (с доработкой: имя имя таблицы , имя столбца блоб ...))
адрес редиректа: http://127.0.0.1/plsql/sss/get_picture?key=key&table=table ....

-----------------------
При таком подходе при анализе доступного у клиента кода вызов процедуры (http://127.0.0.1/plsql/sss/get_picture?key=key&table=table .... ) нигде не всретить

---------------------------------

Решение меня пока устраивает, но может есть более изящное решение????


недостаток здесь в том что нужно отдельно заводить пул соединений sss для конкретного пользователя бд (и фактически если кто узнает синтаксис обращения напрямую PL/SQL
процедуре (http://127.0.0.1/plsql/sss/get_picture?key=key&table=table .... ) ,то можно вывести любую картинку из любой таблицы бд)
8 окт 08, 18:09    [6281478]     Ответить | Цитировать Сообщить модератору
 Re: referer в PL/SQL ??? (откуда пришел запрос)  [new]
Мутаген
Member

Откуда:
Сообщений: 719
Это всё смешно.

Натурально, если кто сумеет создать нужный хедер, то "можно вывести любую картинку из любой таблицы бд".

Ну, а как получать заголовки в jsp - не тема этого форума.
8 окт 08, 19:58    [6281797]     Ответить | Цитировать Сообщить модератору
 Re: referer в PL/SQL ??? (откуда пришел запрос)  [new]
shelk11
Member

Откуда:
Сообщений: 3
Мне хочется прочитать о идее как это сделать более изящно!

(А в процедуре PL/SQL можно проводить анализ некоего ранее записанного значения (id сессии) в таблице с помощью jsp и все ОК!)
8 окт 08, 21:01    [6281907]     Ответить | Цитировать Сообщить модератору
Все форумы / Oracle Ответить