Jump to content

Injeção SQL: melhor método de prevenção


porto77

Recommended Posts

Não.

SQL Injection é uma técnica de intrusão que passa por usares falhas nas aplicações para correres comandos SQL.
A forma de te defenderes não passa pela encriptação mas sim por evitar que a informação que chega à base de dados possa ser manipulada a partir do texto introduzido pelos utilizadores na aplicação.

Podes ler mais sobre o assunto aqui: http://www.w3schools.com/sql/sql_injection.asp

10 REM Generation 48K!
20 INPUT "URL:", A$
30 IF A$(1 TO 4) = "HTTP" THEN PRINT "400 Bad Request": GOTO 50
40 PRINT "404 Not Found"
50 PRINT "./M6 @ Portugal a Programar."

 

Link to comment
Share on other sites

Olá boa noite, mas então para "evitar que a informação que chega à base de dados possa ser manipulada a partir do texto introduzido pelos utilizadores na aplicação" não quer dizer encriptar os dados introduzidos no username e password? Como por exemplo o keyscrambler no Windows que encripta e não deixa o que nós escrevemos chegar ao Windows porque transforma os nossos caracteres noutros caracteres antes de chegar ao Windows? 

Link to comment
Share on other sites

A minha questão vem a propósito de resolver a questão de nos sites no inicio da barra de endereço se clicarmos na informação diz: "A sua ligação a este site não é segura, não deve introduzir informações confidenciais porque podem ser roubadas por atacantes".

Um colega "duvidoso" disse que apesar de só ser necessário resolver esta questão depois de o usuário ter iniciado sessão, ou seja resolver a questão na área reservada de cada utilizador através de encriptação, também se poderia resolver esta questão através de encriptação mesmo antes de alguem iniciar sessão por causa de ataques sql injection...

Link to comment
Share on other sites

Exato, não tem nada a ver com isso.
Isso que estás a referir é o transporte da informação, e o SQL Injection não tem a ver com o transporte mas sim com a garantia de que não se ganha acesso à base de dados através da injeção de carateres especiais.

Quando tens uma mensagem dessas de "a tua ligação a este site não é segura" isso quer apenas dizer que a comunicação não se está a fazer sobre SSL, sem certificados, etc..
Vês isso quando o pedido começas por http ou https (o s no final indica que é "seguro"), mas isso apenas se refere à comunicação entre o teu browser e o servidor, nada tem a ver com SQL Injection. Podes ter SQL Injection num site "seguro".

PS: usuários não existem deste lado do Atlãntico.

10 REM Generation 48K!
20 INPUT "URL:", A$
30 IF A$(1 TO 4) = "HTTP" THEN PRINT "400 Bad Request": GOTO 50
40 PRINT "404 Not Found"
50 PRINT "./M6 @ Portugal a Programar."

 

Link to comment
Share on other sites

Creio que cada linguagem de programação e de sql tenham suas proteções especificas(apesar da solução ser parecida para todas) para o sql injection. Entretanto disponho deste artigo que abrange uma solução de aprendizado.

http://www.devmedia.com/sql-injection-o-que-e-por-que-funciona-e-como-prevenir-sql-magazine-23/6102

Cabe a vós se aprofundar nos estudos da linguagem em que programas

Edited by Estêvão Braga
Link to comment
Share on other sites

O artigo do Estêvão Braga responde à questão. Ilustra bem o que é o SQL Injection.
Para te prevenires contra um ataque desses, vê aqui: https://wiki.locaweb.com.br/pt-br/Como_se_proteger_do_SQL_Injection

10 REM Generation 48K!
20 INPUT "URL:", A$
30 IF A$(1 TO 4) = "HTTP" THEN PRINT "400 Bad Request": GOTO 50
40 PRINT "404 Not Found"
50 PRINT "./M6 @ Portugal a Programar."

 

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.