Руководства
Введение в веб-платформу Falcon Space. C чего начать?Мануал для начинающего разработчика Falcon SpaceВидео о создании сайтов на Falcon SpaceВопросы и ответы для тех, кто начал разрабатывать на Falcon SpaceТиповые ситуации для админа-разработчика в панели управления Как создать таблицу на сайте по шагамКак создать форму на сайте по шагамКак создать дашборд в личном кабинете пользователяПример создания системы по учету Кадры (HR) на сайтеКак улучшить свой код - заметки по ревизии кодаКак сделать аналитический отчет или таблицу на сайтеПодробное описание процесса создания формы Обратная связьСоздание системы уведомлений из внешних источников (через API)Как отслеживать историю действий пользователя или историю событий по объекту системыКак сделать отслеживание посещений сайта конкретными людьми?Как сделать перевод сайта на другой язык для нетехнического специалистаКак сделать функционал оценки полезности материалаСоздание из под editor структуры личных кабинетов (роли, страницы)Улучшение адаптивности страниц под мобильные устройстваСоблюдение порядка в проекте в процессе сопровождения сайтаКак считать показатели год-к-году (YoY) в отчете по периодамКак добирать данные по объекту из внешних источников по API
Основа Falcon Space
Из чего состоит веб-платформа Falcon SpaceСловарь терминовНастройки системыРабота со страницамиСоглашения по SQL коду в платформеСоздание таблиц базы данных и связей между нимиОписание кабинета для бизнес-админа (роль editor)Описание интерфейса администратора-разработчика веб-платформыУправление ролями и пользователями на сайтеПериодические действия на сайте (планировщик, крон, cron)Создание страниц с компонентом таблица/форма - автогенерация SQL Внешние действия (уведомления, пуш, email, вызов API)Универсальный поиск по личному кабинету на сайтеПреимущества и недостатки Falcon Space
Основные компоненты
Работа с таблицамиРабота с формамиРабота с дашбордамиРабота со статусами заявок и других объектовДиаграммы и графики, визуализацияКалендарь. Управление событиямиТерминал - рабочее пространство с окнами и вкладками
Возможности
Безопасность данных сайта и разграничение доступаЗагрузка данных из Excel с произвольным форматомЛокализация сайта. Перевод интерфейса сайта на языкиАдаптивные PWA сайты с установкой значка на экран телефона. Отправка pushГеолокация, определение местоположения пользователя на картеПеретаскивание элементов на странице (Drag-and-Drop)Удаленное подключение к внешним базам данных из личного кабинета - MySQL, PostgreSQLКопирование текста в буфер обмена
Коммуникация пользователей
Внутренний чат (переписка пользователей) Работа с комментариямиТелеграм боты и отправка сообщений в Telegram в веб-платформе Falcon SpaceЧат бот ВКонтакте. VK бот для обработки сообщений в группе.Как сделать push уведомлениеНастройка уведомлений для пользователейКак настроить чат помощи для пользователейНастройки почты для отправки сообщений с сайтаОтправка email с шаблоном письмаРеализация отправки различных писем по шаблону с предварительным редактированиемКак отправить Email, SMS или уведомление пользователюКак сделать ежедневную отправку отчета в групповой чат Telegram?Видеочат. Интеграция с Vox ImplantКак отправлять SMS с сайта через smsc.ruОтправка СМС через targetsms.ruБазовая интеграция с Jitsi Meet (звонки с видео)Телеграм. Работа с файламиКастомизация разметки и работы компонента чат
Дизайн, стилизация, юзабилити
Гид по стилям Falcon SpaceРуководство по юзабилити сайтов на Falcon SpaceЭлементы стилизации в разметке страниц кабинетов на Falcon SpaceУправление темами сайта. Как создать новую тему дизайна сайтаКак внедрять готовую верстку в страницуКак внедрить форму настроек внешнего вида сайтаГорячие клавиши Falcon SpaceСоздание своей темы для сайтаОграничения по изменению дизайнаКак сделать дизайн сайта со скругленными элементами (или без скруглений)Как сделать свою верхнюю полоску сайта (customHeader)Как внедрить новый шрифтКак через CSS управлять стилями конкретных страницКак показать элемент увеличенным при наведении (например ячейка таблицы)Изменение стилизации через CSSКак поменять столбцы местами на смартфоне (order-1 order-md-2)Как сделать анимацию иконокАнимация элементов. Как работать с анимациейДобавление анимацииУправление анимацией для форм, таблицКастомные CSS файлы для страницыПанели с тенью и со скруглением Как внедрить свой CSS на каждой странице порталаКак сделать основное меню горизонтальнымКак убрать все тени и сделать дизайн плоскимКастом разметка верхней панели (TopMakeup)Интерфейс кабинета - это не методы репозитория CRUD!Как сделать липкую панель сверху страницыКак сделать основное меню белымВывод справа на странице float панелиКак поменять степень затемнения фона у диалогового окнаУправление иконкой в окне alert справа вверху окнаКак стилизовать иконкуВывод на экран денежных сумм (отображение рублей, валюты) - as-moneyКак увеличить картинку на страницеВизуализация воронки на основе данныхКак сделать модальное окно определенной шириныПанели показа подсказок (для базовых инструкций по странице)Как сделать левое меню по умолчанию свернутым?
Лендинги
Работа с лендингами (lands)Как создать новый лендинг?Как максимально быстро создать лендинг на базе Falcon SpaceКак внедрить лендинг со своим шаблоном и стилямиКак создать сайт полностью на лендингах?Как устроен механизм лендингов внутриКак переместить лендинг на главную страницу (или на любую другую)Как сделать набор типовых лендингов (например, карточки товаров)?Как сделать копию лендинга с другим адресом или перенести лендинг на другой сайтКак использовать много раз одну секцию в разных лендахКак отключить секцию лендинга или менять их порядок на лендингеКак задать высоту/подложку секции лендингаКак для ленда подключить скрипты или CSSКак прописать SEO параметры для лендаКак создать свой шаблон новой секции лендинга?Как редактировать секцию лендингаГде посмотреть список лендингов?Как сделать меню лендинга или меню сайта на лендахКак сделать подстановочными фавикон, seo title у лендингаКак сделать так, чтобы PWA работал для лендингов
Универсальный API
Создание сервиса API для сайтаИсходящие запросы API (отправка запросов с сайта к внешним API)Входящие запросы API (слой АПИ методов сайта)Как сделать вебхук (webhook)Полезные SQL функции для APIКак вывести данные из удаленного источника по API в таблицеКак выводить данные на форме из внешнего источника через APIКак создать цепочку последовательных вызовов API методовКак отправить POST запрос с телом JSONВызов API по кнопке в форме после выполнения действияВебхуки для уведомлений на сайте (отправка API запроса при уведомлении на сайте)Добавление сертификатов (PEM, PFX, CRT) в исходящий запрос APIВзаимодействие через API между 2 экземплярами FalconКак передать скрытый параметр при исходящем запросе из Request процедуры в ResponseВходящий API. Как учесть в отклике результат внешних действий в APIСредство просмотра JSON as-prettyJSON
Интеграции
Подключение к удаленным серверам SQL Server через Linked ServerZapier интеграция на платформе Falcon SpaceПрием платежей через Яндекс.КассуИнтеграция с Робокассой (платежный шлюз)Пополнение средств через Yookassa (Юкасса)Прием платежей на сайте через CloudPaymentsИнтеграция с платежным шлюзом LifePayУведомление от ТБанка по операциям с расчетным счетомИнтернет-эквайринг Тинькоф БанкИнтеграция API DaData.ru подсказки по адресамИнтеграция коллтрекинга МАНГО ОФИС (режим Площадка)Интеграция API Курсы валют Центрального Банка РФИнтеграция API Почта РФИнтеграция API Служба доставки СДЭК (CDEK)Интеграция API Служба доставки Деловые линииИнтеграция API IpGeoBase Город по IP-адресуИнтеграция API DaData.ru Город по IP-адресуКак вычислить расстояние между 2 геоточками через Google MapsКак сделать интеграцию с Мой СкладКак сделать вебхук для передачи данных с Тильды на Falcon SpaceСканирование штрихкодов и QR кодов через камеру смартфонаПолучение данных контрагента по ИННВнедрение подсказок dadata на сайтВывод точек на карте Яндекс. Интеграция с Яндекс КартыИнтеграция с телефонией Zadarma.comПолучение данных о контрагенте - интеграция ЗаЧестныйБизнесИнтеграция с AMO CRMИмпорт контактов в CRM из Google КонтактыВход/регистрация через ВКонтакте(vk.com)Интеграция CRM с онлайн чатом на сайте (Replain)Как связать yandex metrika clientID с пользователем сайта?Как сделать обработку входящей почты (создание клиента в CRM из Email)Интеграция сайта с ChatGPT (openAI)Интеграция с Яндекс МетрикаИнтеграция с Youtube. Получение роликов каналаИнтеграция с Ozon, Wildberries - извлечение статистикиИнтеграция с API Яндекс Вебмастер
Каталоги
Создание каталога товаров (catalog)Создание гибкого каталога с фильтрами (list)Как сделать каталог List с внешней разметкойКаталог List. Создание кастом фильтра со своей разметкойКак сделать каталог на базе лендинга и формы для фильтров Базовая верстка для каталога элементовИмпорт товаров через XML файлы (YML, CML и др). Интеграция с 1СИнтеграция Яндекс YML. Импорт-экспорт каталога товаров в YMLПроблема избыточной выборки в List и CatalogСоздание сущностей для учета со своим набором полей (без SQL) Как добавить в URL каталога List псевдофильтры
Навигация
Работа с менюКак настроить меню кабинета Как добавить хлебные крошки Как настроить меню на смартфонах снизу экранаКак быстро редактировать страницы и параметры компонентовКак можно в меню добавить динамические элементы?Как отключить свайп открытия менюКак создать вложенное меню каталога в верхней панелиКак добавить в хлебные крошки функциональные ссылки (форму, таблицу)Как сделать хлебные крошки с выпадающим списком
Документы
Импорт-экспорт в базу данных через ExcelГенерация документов Docx и Xlsx. Выгрузка Excel, Word по шаблонуСтилизация Excel при экспорте компонента Таблица в xlsxКак docx файл конвертировать в pdf (LibreOffice, powershell)Проверка орфографии в тексте через Яндекс SpellerИнтеграция с Google Drive APIКак создать выгрузку документа в Excel через форму с последующей загрузкой на Google Disk и выгрузкой в PDFГенерация документов Word,Excel - гибкий вариант с формой
Дополнительные компоненты
Работа с HTML блоками. Создание модулей версткиИнтерактивные диаграммы, графикиПолоски прогрессаТоварные карточки Диаграмма ChartbarДиаграмма Ганта на сайтеДоска КанбанВывод данных в виде графа на сайтеВывод движения заявки по статусам statusbarКарта с маркерами. Вывод точек на Google MapsСоздание панелей-подсказок в личном кабинетеРабота с показателями. Управление метриками на сайтеРабота с деревьями (иерархия). Вывод древовидных структур на сайтеИнтерактивное дерево для отображения иерархических структурДобавление лайков, дизлайков, рейтингов, голосованиеБизнес-процессы. Создание бизнес-процессаАвтоматизированное тестирование сайтовВременная линия (timeline) для вывода событий на страницеСчетчики в личном кабинете на сайте
Продвижение, SEO
Возможности поисковой оптимизации сайта (SEO)Создание sitemap с пагинацией и генерация элементов robots.txtКак сделать карту сайтаВнедрение рекламных блоков в контентВнедрение микроразметки через HTML блокГенерация RSS в SQL процедуреОбработка URL в SQL для исключения лишних символовИнтеграция с Яндекс XML APIИнтеграция API Яндекс.ВебмастерОптимизация по загрузке картинокSEO - Как создать виртуальные страницы с одним шаблоном, но под разные ключиЯндекс Турбо - как включить Яндекс Турбо страницы для контента на сайтеИнтеграция с Тургенев API для проверки качества контентаСоздание AMP страниц для улучшения позиций в GoogleУлучшение Pagespeed за счет отключения лишних счетчиков (как убрать некоторые скрипты для пауков, ботов)
Системные моменты
Отслеживание изменений хранимых процедур и страниц (logChanges)Логирование изменений объектов на примере хранимых процедурРабота с редактором кода в личном кабинете разработчикаЛогирование событий в приложении (trace)Действия в браузере actions JSONКак быстро перенести решение (таблицы, формы, страницы) на другую базу?Настройка диалоговых окон и alert окошекМелкие удобства для разработчика в личном кабинетеКак отследить и ограничить большое количество однородных запросов на сайтеИзменение процедуры поиска, процедуры общих элементов Layout, процедуры периодического запускаКак изменить длительность показа сообщенийФорма обратной связи по ошибкам, предложениям suggestionКак разграничивать права на уровне бизнес-логики хранимых процедурБезопасная обработка данных и проверка доступа в хранимых процедурахИспользование типовой разметки в виде сниппетов для решения различных задачКак логировать клики на определенных элементах в системеОбработка старых браузеров (сообщение об устаревшем браузере)Безопасность. Как скрыть некоторые заголовки (http headers) в запросахОтображение сообщения об offline (Нет сети)Рабочее место разработчика через терминалОбновляемые метки времени в сообщениях на сайтеПодсказка по интерфейсам хранимых процедур компонентовЗащита от CSRF атак через дополнительный токен в формахДополнительные параметры в @parameters (во многих хранимых процедурах)Как логировать события в Falcon в другую базу (чтобы ограничить рост основной базы данных)Сообщение об использовании куки (Cookies)Как искать код некоего компонента (таблицы, формы и т.д.) на страницеКак сделать так, чтобы почта отправлялась асинхронно без задержекРабота со сниппетами кодаУниверсальная кнопка действия as_submitРежим показа таблицы/формы в alert окнеРеализация системы анализа IP посетителей
Системное администрирование
Установка веб-платформы Falcon Space на сервер/хостингFAQ для системного администратора сервераПрофилактика, диагностика работы сайта на Falcon SpaceКак сделать копию сайта для тестовПеренос компонентов между БДКак улучшить производительность IIS (IIS Perfomance Boost)Как организовать периодическую отправку на почту отчета по ошибкамБезопасность. Как ограничить вход пользователям по IP, порту или доменуКак включить системный лог в Core версии платформыКак изменить таймаут запросов к БДWindows Server, IIS, Как сделать, чтобы сайт работал от определенной учетной записиЗащита от ботов. Настройка блокировки частых запросов по IP
HOWTO
Как сделать отдельный универсальный поискМодальная ссылка (as-modal)Как идентифицировать анонимного пользователя (по куки)?Дашборды. Как вызвать коллбек после загрузки дашбордаКак вынести правила редиректа в отдельный файл configСтраницы. Как сделать редирект на другую страницу при загрузкеСтраницы. Как изменить текст на главнойСтраницы. Как использовать дополнительные параметры на страницеСтраницы. Как выводить списковые данные в теле страницы (repeater)Страницы. Настройки страницы для формирования главного менюСтраницы. Мне нужен в URL параметр itemID, но там передается из-за сущностей InstanceIDСтраницы. Как сделать мастер описания функционала страницыКак добавить событие в календарь GoogleКак сделать кнопку определенного действияКак сделать горячие клавиши для событий (нажатие кнопки)Как показывать баланс пользователя вверху кабинета?Где взять фото пользователяКак сделать поддомены с разными языками для сайтаКак управлять страницей “404 Страница не найдена”Отслеживание всех действий пользователя в системеКак выводить денежные данныеКак дать возможность некоторым ролям вводить html в формах?Что делать если открытая вкладка (tab) сбрасывается при перезагрузке страницы?Как реализовать создание периодического отчета на почтуПопап (popup) окна - показ модальной формы по событию или таймаутуКак быстро просматривать типовые отчеты с возможностью редактирования SQLКак максимизировать показатели Google PageSpeed для сайта на Falcon SpaceКак реализовать окно уведомления об использовании куки (cookies)Вывод на странице штрихкода (barcode) и QR кодаКак в тексте сделать ссылки кликабельнымиКак внедрить на сайте автоопределение города с возможностью выбораКак внедрить оглавление в текстКак вставить универсальный поиск в любое место страницыКак определить координаты lat lng пользователя в текущий моментКак сделать сортировку дерева с Drag-and-DropКак обновить часть страницы по клику на кнопкеЗагрузка дашборда по ссылке as-dashboard-linkКак запретить копировать текст с сайта. Как добавлять ссылку копирайта в текст при копировании с сайтаКак изменить шаблоны хранимых процедур для Формы, Таблицы и др.Определение местоположения пользователя по IP через API (as-ip)Форма Нашли ошибку по Ctrl+EnterКак определить откуда пришел пользователь на сайт? Фиксация источника посещения пользователем сайтаКак сделать ссылку, которая скроллит к элементу на страницеКак показать/скрыть область на странице по ссылке - as-collapseКак сделать обновление интрефейса у другого пользователя по некоему событию
Таблицы
Как сделать таблицу в модальном окне (открывается в диалоговом окне)Как реализовать подтаблицу (вложенная таблица), подформу в таблицеКак связать 2 таблицы Загрузка таблицы по ссылкеКак связать таблицу и редактирование сущности (зависимая страница)Как использовать комментарии в таблицахКак добавить в фильтре значение Не выбрано со значениемКак установить ширину колонки в таблице Как добавить диапазон даты или чисел (слайдер) в фильтрКак сделать операции только для некоторых строкКак делать различный набор столбцов одной таблицы для разных ролейКак убрать показ количества строк результата в заголовке таблицы? Как сделать сортировку в таблицеКак сделать Editable для галочки (Да/Нет) в AS CRUDКак редактировать колонку с датойКак скрыть строчные операции в таблице для определенных строкКак добавить коллбек после загрузки таблицыОтображение таблиц на смартфонеКак работать с галочками в таблицеЧастые ошибки при настройке таблицы (почему не работает таблица)Как обновить подтаблицу после выполнения некой операцииКак обрабатывать групповые операции через модальную формуКак создать предустановленные фильтры для таблицыКак сделать сворачивание таблицы (collapse table)Как убрать старые dict процедуры в формах и таблицахКак сделать фильтр с деревом галочекКак отключить сохранение состояния таблицы (фильтры)Как сделать ссылку на всю строку таблицыКак передать через URL значение фильтраКак сделать обрезание ячеек таблицыСортировка строк в таблицеСоздание сущности с учетом значений фильтровОптимизация запроса SQL - извлечение данных для таблицыКастомная разметка в таблицеРежим кастом вывода через JS (custom)Как настроить дополнительные шапку и подвал у таблицыКак сделать зависимые фильтры в таблицеИмпорт данных в формате файлов txt, csv через таблицуКак гибко управлять видимостью столбцов таблицыКак сделать раскрытие подстроки через любую ссылкуРежим быстрой фильтрации строк без обращения на серверВыпадающая панель рядом с названием таблицы dropdownPanelКак убрать при загрузке установку фокуса ввода на фильтр (data-nofocus)?Как сделать аналитику по периодам (таблица с интервалами дат)Кастомизация вида операций таблицыСтилизация фильтров таблицы
Формы
Как вывести форму во всплывающем окне рядом с кнопкой (popover)Загрузка формы по ссылкеКак принимать в форму не 1 параметр (itemID), а несколько входящих параметров? data-param-p1Как сделать модальную форму Как добавить коллбек после загрузки формы и после сохранения формы.Как показывать на форме прогресс заполнения (прогресс заполнения формы)Как сделать форму в виде мастера шаговКак сделать подтверждение действия в СМС (SMS) в формеКак установить поля в форме по умолчанию при загрузкеКак показывать изменяющуюся информацию при изменении полейФормы. Как сделать в форме более 1 кнопки действий (несколько кнопок действий на форме)Как правильно обрабатывать цены (дробные числа) на формеКак передать в форму скрытый параметрКак в форме добавить примеры заполнения полей (example)Как выбрать значение списка через справочник в модальном окнеКак сделать окно подтверждения действия формыДинамическое изменение itemID у формы в зависимости от других элементов страницыКак скрывать/показывать, обновлять область на странице при изменении поля формыКак добавить новый элемент, если в списке на форме его нетКак перезагрузить страницу после сохранения формыКак вывести списковые данные или таблицу внутри формыКак сделать зависимые поля в форме (Страна, Город)Как сделать кастомную HTML разметку для формы (jsRender)Как создать кастом форму с подтверждением действия по Email или SMSУстановка фоновой панели для формыКак сделать задержку при сохранении формы (saveDelay)Подсказки-ограничители длины для полей в формеКак динамически изменять тип поля формыКак сохранить значение поля в браузере, чтобы каждый раз его не вбивать при загрузке (оставлять последнее сохраненное). Запоминание поля формы в браузереКак выводить разные данные на одной форме для разных ролейКак сделать форму с сохранением состоянияКак сделать поля с анимацией значенийИспользование Google Recaptcha в формахКак обновить таблицу после сохранения формы в модальном окнеКак указать произвольную маску для поля ввода в формеКастом проверка полей формы через JSКак в выборе даты (datepicker) задать доступные датыКак создать форму для редактирования сущностиЗагрузка формы в выпадающем окне (dropdown)Добавление смайликов (emoji) в поля формКак у формы сделать progress bar при загрузке формыРабота с датами в формахПоказ количества символов рядом с полем в формеКнопка очистки формы ResetКонтроль заполнения ключевых форм на сайтеКак сделать форму с простым подтверждением действия (confirm)Как поменять соотношение длины метки и поляКак при сохранении формы вывести сообщение printlog, а не alert
Поля формы
Поле Список поиска значения (autocomplete, search-select) Как в форме вывести список галочек (множественный выбор поля)Как сделать списки select и chosen с категориями (optgroup)Как сделать выбор адреса и сохранение координат места (lat,lng).Установка графика работы (поле формы weekTime)Как в форму в SaveItem передать некий скрытый параметр (например Куки или параметр URL)Как работать с полем типа Слайдер (ползунок)Как использовать в форме поле Выбор файлов. Типы полей формы files, remoteFile, fileContentКак редактировать текст элементов  HTML в Rich-редактореУправление настройками поля через options_ поляВставка ссылок по шаблону (ютуб ссылка, patternString)Как использовать Флажки и выбор радио с картинкойКак работать с полем ТаймерКак сделать выбор цвета в формеКак вывести дерево с выбором галочекКак выводить и сохранять множественный список через chosen поле.Обработка даты из поля datetime-localРедактор текста - код поля формы html2Как работать с полем Дробное числоКак настроить выбор вариантов для поля Интервал датВыбор из элементов с табуляцией - поле формы tabsТип поля imageCheckbox (флажок-картинка)Поле формы Градиент (gradient)
Загрузка файлов, картинок
Работа с ресурсами. Загрузка картинок, файловУправление файлами на сервере (файловый менеджер)Загрузка на форме текстовых файлов и обработка их в процедуре SaveItemКак добавить в колонку таблицы управление файламиЗагрузка файлов с drop областью и гибкой разметкой (компонент as-files)Как приводить картинки к заданным размерам при загрузке на сайтИмпорт и парсинг файла CSVЧем отличается код типа ресурса от типа объектаКак получить ссылку на ресурсКак установить права доступа на менеджер ресурсов?Как загружать фото с обрезкой Как увеличить размер подгружаемых файлов (как загружать большие файлы)Передача файлов по FTPКак искать битые ресурсы, картинкиПодбор оптимальных параметров менеджера ресурсовПодгружаемые файлыМассовая загрузка картинок в систему ресурсовНе грузится файл через менеджер ресурсовФайлы загружаются на сервер, но при скачивании выходит ошибка 404.3 (загрузка ODT, Проблема с MIME типами)Поддержка Webp формата для оптимизации картинокМассовая оптимизация картинок в менеджерах ресурсовНе выводятся картинки на сайте (401, 403 ошибка при загрузке картинок)Как установить JS callback после выполнения crop картинкиНе отображается картинка юзера справа вверхуКак изменить текст "Нет файлов" в as-resourceManager?Обработка спецсимволов в названии файлов Как поставить водяной знак на картинку при загрузкеКак оптимизировать качество картинок при загрузке на сайтКак создавать для загружаемой картинки копии с разными размерамиКак загружать файл, когда задействовано диалоговое окноКак загрузить файл по конкретному путиКак сделать возможность грузить только 1 фотоКак поставить фильтр на типы файлов и ограничить форматы загрузки картинок?Как обработать событие после удаления или добавления файлов? Не выводятся картинки в менеджере ресурсов. Что делать?Как вставить менеджер ресурсов в форму с заданным itemID
HOWTO SQL
Внутренние SQL функции и процедурыСистемные SQL функции для диагностикиВыполнение запросов SQL из кабинета админаОтладка хранимых процедур и выявление причин ошибокКак избежать проблем с именованием sql процедур.
HOWTO JS
Основы работы на JS в рамках платформы Реализация кастомных доработок JS по системе - Request JSФункции библиотеки AS.jsГлобальные коллбеки JSОбработка входящих вызовов SignalR (sendToBrowser)Как внедрить свой JS-код на каждой странице порталаКак обновить компонент в диалоговом окне или другой динамической разметке?Как отключить глобальную обработку ошибок JSКак сделать числовой счетчик (анимация изменения)Как вставить коллбек на событие загрузки основного меню страницы Как получить все часовые пояса и смещения по часам для поясов
HOWTO Верстка
Основные классы Bootstrap 4Советы по работе с картинкамиКак сделать страницу с вкладками или со сворачиваемыми панелями (аккордеон)Как сделать показ увеличенных картинок (лайтбокс)Советы по ссылкам на сайтеИспользование тестовых картинок для версткиРедактор кода. Как работать с множественными курсорами
Решение проблем
Распространенные ошибки в Falcon SpaceЧто делать, когда есть непонятная ошибка?Оптимизация производительности сайта. Как избежать тормозов на сайтеМеханизм анализа ошибокКак решать проблемы быстродействия Как решить проблему с почтовыми фильтрами SPAM (СПАМ)Проблема лишнего select в хранимых процедурахНе используйте системные названия переменных username, langIDПоказывается неактуальное содержимое хранимой процедуры в программе. Переименование хранимых процедурСпецсимволы на странице выводятся как знаки вопросаНет доступных сокетов. Проблема с 6+ вкладками в браузереПадение сайта при локализации поля страницы [menuPreTitle]Как убрать мерцание в начале загрузки при кастом стилях

Выгода от использования Falcon Space

В 2-3 раза экономнее и быстрее, чем заказная разработка
Более гибкая, чем коробочные решения и облачные сервисы
Используйте готовые решения и изменяйте под свои потребности

Безопасная обработка данных и проверка доступа в хранимых процедурах

Оглавление

В формах, таблицах и других компонентах во всех процедурах нельзя доверять входящим параметрам, кроме @username.

Любые данные злоумышленник может подменить через специальные инструменты.

Причем не всегда спасает даже ограничение по ролям. Например, менеджер может подставить в форму клиента другой @itemID и получить доступ к чужому клиенту.

Нельзя надеяться на то, что в @itemID придет допустимая строка, т.к. пользователь может просто подменить ее в сниппете компонента или в URL.

 

КАК НЕ НАДО ДЕЛАТЬ:  

CREATE PROCEDURE [dbo].[fm_project_saveItem]
   @username nvarchar(256), 
   @itemID int,
   @parameters ExtendedDictionaryParameter readonly
AS
BEGIN
   declare @code nvarchar(max)
   set @code=(select value from @parameters where [key]='code')

   update projects set code=@code where id=@itemID

    -- 1 SELECT (Result, Msg)
    select 1 Result, 'Сохранено' Msg
END

 Это неправильная процедура. Не проверяется входящий пользователь, не проверяется - может ли он изменить код указанного проекта. 

 Корректная процедура:

CREATE PROCEDURE [dbo].[fm_project_saveItem]
   @username nvarchar(256), 
   @itemID int,
   @parameters ExtendedDictionaryParameter readonly
AS
BEGIN
   declare @code nvarchar(max)
   set @code=(select value from @parameters where [key]='code')

   if(dbo.sec_hasProjectRight(@itemID, @username, 'editCode')=0) begin
      select 0 Result, 'No rights' Msg
      return
   end

   update projects set code=@code where id=@itemID

    -- 1 SELECT (Result, Msg)
    select 1 Result, 'Сохранено' Msg
END

Проверяем в процедуре доступ. Если что не так - возвращаем ошибку. Важно доступ проверять именно через функцию, чтобы потом не менять во многих местах проверку доступа.  

Важные нюансы

  • Обязательно прописывайте роли доступа в настройках формы, избегайте указывать там all или * без лишней необходимости
  • Если к форме имеют доступ несколько ролей - проверяйте, может ли роль указанного @username изменять данные
  • Если в базе есть логическая связь между пользователем и редактируемой сущностью (например менеджеры и клиенты) - проверяйте на соответствие входящие @itemID и @username с фильтрацией данных по полям сущности (например у Клиента будет поле Привязанный менеджер). 
  • Злоумышленник может вызвать любой метод формы, поэтому нужно вставлять такие проверки во все методы (GetItem, CheckItem, SaveItem и другие). Удобнее эту проверку вынести в отдельную процедуру и потом вызывать ее из метода.
  • Не делайте универсальные компоненты, доступ к которым есть у Админа и у Участника системы. Это создает дыру безопасности, усложняет поддержку и увеличивает риск внесения ошибки доступа. Также в будущем вероятно этот функционал будет по разному развиваться, для этих сильно отличающихся ролей. В общем случае лучше сделать 2 разных компонента для принципиально разных ролей (например, Поставщик и Заказчик, или Исполнитель и Администратор). 

Шаблон процедуры проверки доступа к некоторой сущности (Проект): 

-- пример функции проверки доступа к Проекту
Create FUNCTION [dbo].[sec_hasProjectRight]  (
         @id int, 
         @username nvarchar(128),
         @right nvarchar(128)  -- edit, read, or other
)
returns bit
AS
BEGIN
    declare @res bit = 0
    if(exists(select 1 from pr_projectUsers 
      where projectID=@projectID and username=@username)) begin
     set @res =1
    end

    return @res
end

 

Falcon Space - функциональная веб-платформа разработки на узком стеке MS SQL/Bootstrap. Вводная по Falcon Space
Насколько полезной была статья?

Google поиск по нашей документации

Нужна бесплатная консультация?
Планируете делать веб-проект?
Если видео Youtube плохо грузится, то попробуйте найти видео в ВК видео на канале Falcon Space
Сайт использует Cookie. Правила конфиденциальности OK