porto77 Posted December 22, 2016 at 06:41 PM Report Share #601465 Posted December 22, 2016 at 06:41 PM Olá, falaram me de injeção sql para atacar sites, um colega meu disse me que para se proteger de injeção sql tem que se encriptar informação mesmo antes de fazer login, isto tem alguma lógica? Obrigado Link to comment Share on other sites More sharing options...
M6 Posted December 23, 2016 at 10:37 AM Report Share #601476 Posted December 23, 2016 at 10:37 AM Não. SQL Injection é uma técnica de intrusão que passa por usares falhas nas aplicações para correres comandos SQL. A forma de te defenderes não passa pela encriptação mas sim por evitar que a informação que chega à base de dados possa ser manipulada a partir do texto introduzido pelos utilizadores na aplicação. Podes ler mais sobre o assunto aqui: http://www.w3schools.com/sql/sql_injection.asp 10 REM Generation 48K! 20 INPUT "URL:", A$ 30 IF A$(1 TO 4) = "HTTP" THEN PRINT "400 Bad Request": GOTO 50 40 PRINT "404 Not Found" 50 PRINT "./M6 @ Portugal a Programar." Link to comment Share on other sites More sharing options...
porto77 Posted December 23, 2016 at 10:11 PM Author Report Share #601489 Posted December 23, 2016 at 10:11 PM Olá boa noite, mas então para "evitar que a informação que chega à base de dados possa ser manipulada a partir do texto introduzido pelos utilizadores na aplicação" não quer dizer encriptar os dados introduzidos no username e password? Como por exemplo o keyscrambler no Windows que encripta e não deixa o que nós escrevemos chegar ao Windows porque transforma os nossos caracteres noutros caracteres antes de chegar ao Windows? Link to comment Share on other sites More sharing options...
porto77 Posted December 23, 2016 at 10:52 PM Author Report Share #601490 Posted December 23, 2016 at 10:52 PM A minha questão vem a propósito de resolver a questão de nos sites no inicio da barra de endereço se clicarmos na informação diz: "A sua ligação a este site não é segura, não deve introduzir informações confidenciais porque podem ser roubadas por atacantes". Um colega "duvidoso" disse que apesar de só ser necessário resolver esta questão depois de o usuário ter iniciado sessão, ou seja resolver a questão na área reservada de cada utilizador através de encriptação, também se poderia resolver esta questão através de encriptação mesmo antes de alguem iniciar sessão por causa de ataques sql injection... Link to comment Share on other sites More sharing options...
M6 Posted December 26, 2016 at 01:06 PM Report Share #601509 Posted December 26, 2016 at 01:06 PM Exato, não tem nada a ver com isso. Isso que estás a referir é o transporte da informação, e o SQL Injection não tem a ver com o transporte mas sim com a garantia de que não se ganha acesso à base de dados através da injeção de carateres especiais. Quando tens uma mensagem dessas de "a tua ligação a este site não é segura" isso quer apenas dizer que a comunicação não se está a fazer sobre SSL, sem certificados, etc.. Vês isso quando o pedido começas por http ou https (o s no final indica que é "seguro"), mas isso apenas se refere à comunicação entre o teu browser e o servidor, nada tem a ver com SQL Injection. Podes ter SQL Injection num site "seguro". PS: usuários não existem deste lado do Atlãntico. 10 REM Generation 48K! 20 INPUT "URL:", A$ 30 IF A$(1 TO 4) = "HTTP" THEN PRINT "400 Bad Request": GOTO 50 40 PRINT "404 Not Found" 50 PRINT "./M6 @ Portugal a Programar." Link to comment Share on other sites More sharing options...
porto77 Posted December 27, 2016 at 01:33 PM Author Report Share #601517 Posted December 27, 2016 at 01:33 PM Ok, entao qual o método ou métodos mais seguros para evitar ataques de sql injection? (É até tenho que dizer qualquer coisa a esse colega para contradizer a sua opinião). Obrigado Link to comment Share on other sites More sharing options...
Estêvão Braga Posted December 27, 2016 at 02:03 PM Report Share #601519 Posted December 27, 2016 at 02:03 PM (edited) Creio que cada linguagem de programação e de sql tenham suas proteções especificas(apesar da solução ser parecida para todas) para o sql injection. Entretanto disponho deste artigo que abrange uma solução de aprendizado. http://www.devmedia.com/sql-injection-o-que-e-por-que-funciona-e-como-prevenir-sql-magazine-23/6102 Cabe a vós se aprofundar nos estudos da linguagem em que programas Edited December 27, 2016 at 02:04 PM by Estêvão Braga Link to comment Share on other sites More sharing options...
M6 Posted December 27, 2016 at 03:20 PM Report Share #601520 Posted December 27, 2016 at 03:20 PM O artigo do Estêvão Braga responde à questão. Ilustra bem o que é o SQL Injection. Para te prevenires contra um ataque desses, vê aqui: https://wiki.locaweb.com.br/pt-br/Como_se_proteger_do_SQL_Injection 10 REM Generation 48K! 20 INPUT "URL:", A$ 30 IF A$(1 TO 4) = "HTTP" THEN PRINT "400 Bad Request": GOTO 50 40 PRINT "404 Not Found" 50 PRINT "./M6 @ Portugal a Programar." Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now