| Autor |
Mensagem |
![[Post New]](/templates/default/images/icon_minipost_new.gif) 21/02/2009 02:06:12
|
Gregoryan
JavaBaby
Membro desde: 12/04/2004 09:34:10
Mensagens: 77
Localização: Recife
Offline
|
Olá pessoal...
Como todos sabem, uma das piores técnicas de se evitar sql injection é usar javascript... por motivos óbvios de simplesmente ele ser desabilitado no browser....
Pórem,
ESTÁ NOS REQUISITOS levantados de um projeto em que estou trabalhando. O cliente QUER que palavras reservadas do SQL sejam evitadas na tela (js).
Alguém sabe se existe um scriptizinho pronto pra isto? Tou googlando e num acho mta coisa útil não...!
Abraços!!!
|
|
|
 |
|
|
21/02/2009 09:47:59
|
davidbuzatto
Moderador
![[Avatar]](/images/avatar/7ba6d33c373fea56b7258003b16c68e5.jpg)
Membro desde: 07/08/2004 23:47:57
Mensagens: 4013
Localização: Vargem Grande do Sul - SP
Offline
|
Como vc falou, o js pode ser desabilitado (ou mesmo alterado) no browser.
Eu faria essa verificação no servidor.
[]´s
|
Seja educado. Agradeça quem te ajudou. Não custa nada. 
Dúvidas de Java? Utilize o fórum! Não respondo via MP.
"Any fool can write code that a computer can understand. Good programmers write code that humans can understand." (Fowler)
"A vida é um escândalo, e no final dá sempre errado. O que humaniza o homem é o fracasso."
http://davidbuzatto.com.br | GitHub | uHunt | CV Lattes | Last.fm |
|
|
|
21/02/2009 10:31:47
|
josenaldo
GUJ Master
![[Avatar]](/images/avatar/986ad3ada4d93c1c474674751f941082.png)
Membro desde: 27/11/2006 12:39:28
Mensagens: 1170
Localização: Uberlândia/MG
Offline
|
davidbuzatto wrote:Como vc falou, o js pode ser desabilitado (ou mesmo alterado) no browser.
Eu faria essa verificação no servidor.
[]´s
Ele pode sim fazer no servidor. É muito mais apropriado. Porém.... Os malditos analistas/gerentes/filhos das primas colocaram o uso de JS como requisito!!!
Te aconselho a negociar com os responsáveis e mostrar a eles que isso TEM de ser feito no servidor. Qualquer coisa, acha um script no google coloca na aplicação e depois faz uma demonstração...
Abraços
|
Josenaldo de Oliveira Matos Filho
UAIJUG - http://www.uaijug.com.br
http:jnaldo.com |
|
|
|
21/02/2009 10:40:20
|
Marlon Meneses
Virtual Machine Man
![[Avatar]](/images/avatar/3d43cb0230c4f1ab6b9700689a881ec5.jpg)
Membro desde: 10/04/2007 19:20:48
Mensagens: 733
Localização: Belém-Pará
Offline
|
tenho o mesmo problema com validadores de campos...
o cliente quer pq quer q salte uma janelinha e tals dizendo oq tah errado e blablabla
entao pra resolver isso eu fiz o tal do script d validacao e tambem fiz um codigo d validacao
assim fica mais segura pq se furar o script, o servidor barra!
entao recomendo q vc faça o mesmo!
|
Gigante guerreiro...
DAILEON!!! |
|
|
|
21/02/2009 11:38:08
|
davidbuzatto
Moderador
Membro desde: 07/08/2004 23:47:57
Mensagens: 4013
Localização: Vargem Grande do Sul - SP
Offline
|
josenaldo wrote:
davidbuzatto wrote:Como vc falou, o js pode ser desabilitado (ou mesmo alterado) no browser.
Eu faria essa verificação no servidor.
[]´s
Ele pode sim fazer no servidor. É muito mais apropriado. Porém.... Os malditos analistas/gerentes/filhos das primas colocaram o uso de JS como requisito!!!
Te aconselho a negociar com os responsáveis e mostrar a eles que isso TEM de ser feito no servidor. Qualquer coisa, acha um script no google coloca na aplicação e depois faz uma demonstração...
Abraços
Realmente. Se é requisito fica complicado. O mais apropriado mesmo seria negociar e justificar.
[]´s
|
Seja educado. Agradeça quem te ajudou. Não custa nada.
Dúvidas de Java? Utilize o fórum! Não respondo via MP.
"Any fool can write code that a computer can understand. Good programmers write code that humans can understand." (Fowler)
"A vida é um escândalo, e no final dá sempre errado. O que humaniza o homem é o fracasso."
http://davidbuzatto.com.br | GitHub | uHunt | CV Lattes | Last.fm |
|
|
|
21/02/2009 13:12:57
|
Tchello
GUJ Master
![[Avatar]](/images/avatar/901db33c84e81b1a30e59949bbcb112b.png)
Membro desde: 07/06/2008 14:41:04
Mensagens: 1693
Online
|
Se não der documente o máximo possível. Escreva tudo.
Se der merda você mostra tudo pra eles com um belo "eu avisei, vocês não quiseram saber e eu tenho que seguir os requisitos, certo? ema ema ema cada um com seus 'pobrema' ".
Simples assim, sério, tem situações que não vale a pena discutir muito com "gerente de requisitos" ignorante com mania de grandeza.
|
|
|
|
21/02/2009 13:14:37
|
Tchello
GUJ Master
Membro desde: 07/06/2008 14:41:04
Mensagens: 1693
Online
|
Marlon Meneses wrote:tenho o mesmo problema com validadores de campos...
o cliente quer pq quer q salte uma janelinha e tals dizendo oq tah errado e blablabla
entao pra resolver isso eu fiz o tal do script d validacao e tambem fiz um codigo d validacao
assim fica mais segura pq se furar o script, o servidor barra!
entao recomendo q vc faça o mesmo!
O problema é ficar remendando cada requisito absurdo que surge, afim de que a bomba não exploda na sua mão.
Novamente a documentação fica sua amiguinha nesses momentos, culpa de quem colocou ali e não quis saber se você avisou quatrocentas vezes.
|
|
|
|
21/02/2009 14:40:59
|
Gregoryan
JavaBaby
Membro desde: 12/04/2004 09:34:10
Mensagens: 77
Localização: Recife
Offline
|
Olá pessoal...
Na verdade a verificação server-side já está construída. Não é possível fazer SQL Injection no projeto em que estrou trabalhando. O problema é que eles querer esse maldito window.alert antecipando ao usuário que não é permitido a entrada de palavras chaves de SQL nos campos... =S
Queria saber se alguém tinha essa função pronta... vou começar a fazer aqui uma besteirinha pra isso...
Obgdo... =)
|
|
|
|
21/02/2009 14:52:53
|
peczenyj
Moderador
![[Avatar]](/images/avatar/299dc35e747eb77177d9cea10a802da2.jpg)
Membro desde: 26/03/2006 23:25:37
Mensagens: 3191
Localização: Rio de Janeiro
Offline
|
De uma olhada no JQuery, é facil criar validadores baseados em expressões regulares: basta vc informar o que quer evitar, por exemplo.
Agora, esse tipo de coisa tem que ser tratada server-side ,usando prepared statement, e client-side vc pode considerar certos caracteres como não permitidos vide minha dica acima.
|
http://pacman.blog.br
'Não importa quanto alguém se dedique à tarefa. Ninguém consegue fazer a água da cascata cair para cima.' |
|
|
|
21/02/2009 14:54:15
|
Gregoryan
JavaBaby
Membro desde: 12/04/2004 09:34:10
Mensagens: 77
Localização: Recife
Offline
|
peczenyj wrote:De uma olhada no JQuery, é facil criar validadores baseados em expressões regulares: basta vc informar o que quer evitar, por exemplo.
Agora, esse tipo de coisa tem que ser tratada server-side ,usando prepared statement, e client-side vc pode considerar certos caracteres como não permitidos vide minha dica acima.
Vlw cara...
Vou dar uma olhada com JQuery!
|
|
|
|
|
|
![[Up]](/templates/default/images/icon_up.gif){kind=icon}
![[MSN]](/templates/default/images/icon_msnm.gif){kind=icon}
![[ICQ]](/templates/default/images/icon_icq_add.gif){kind=icon}
![[WWW]](/templates/default/images/icon_www.gif){kind=icon}
![[Email]](/templates/default/images/icon_email.gif){kind=icon}