Jump to content

Recommended Posts

Posted

É de mim, ou.... usar uma função javascript (que supostamente corre do lado do cliente certo?) para ir buscar informações privadas/confidenciais a outro site (sistema, wtv) é uma má arquitetura?

Será que sou eu que estou a ver mal, ou um utilizador mal intencionado pode adulterar a função js para obter mais dados, do que a original está a retornar inicialmente sem que haja qualquer tipo de controlo do lado do sistema que fornece os dados, admitindo que eles (dados) existem, mas não eram acedidos pela função inicial.

  • 1 month later...
Posted

Sim pode acontecer.

Existem vários problemas na segurança com js que podem e devem ser tidas em conta.

Resumidamente deixo algumas dicas para aumentar a segurança...

0-Opcional(Depende da app): Validar se o utilizador está autenticado. Existem determinadas funções que só queremos que utilizadores autenticados acedam...

1-Validar os dados enviados para o servidor (Quando um pedido chega ao servidor validar se está num formato correto numero/texto etc)

2-Quando interages com base de dados deves ter usar queries parametrizadas, para evitar o sql injection. Mais info:http://www.w3schools.com/sql/sql_injection.asp

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.