Hands-on JSTL

Concordo com você Daniel, o JSTL é interessante (e bom) na edição número 7 da Java Magazine saiu a primeira parte de um guia completo de JSTL.

o problema eh que nao existe um strict JSTL
voce faz bonitinho o seu JSP soh com tags, e ai chega um carinha e abre uma conexao JDBC a partir do JSP.

velocity voce NAO pode fazer essas coisas… bloqueio total.

Paulo,

O que você quis dizer com:

Você queria dizer que um desenvolvedor com acesso ao código abre a conexão através das tags específicas de acesso a banco, ou, você quis dizer que um hacker mal-intencionado infiltra código malicioso em seus requests para acessar o banco de dados ?

:roll:

net_sandro, o Paulo provavelmente estava falando de desenvolvedores ...uhh... "iniciantes" (eu realmente quis evitar usar a palavra "dementes" aqui) que destroem qualquer JSP, por mais bem-feito que seja, por mais que use JSTL, struts, blablabla, com coisas assim:

<%

Class.forName("nome-do-driver");
Connection c = DatabaseManager.getConnection();
ResultSet rs = c.executeStatement("SELECT ...");

...

%>

Foi o que eu imaginei também ! 8)

A minha idéia era saber se o Velocity teria algum tratamento contra solicitações “maliciosas”, se é que me entende. Acho difícil que tenha, por isso a dúvida .

Não tem tratamento, mas o que voce consegue fazer de malicioso no Velocity, se não dá pra instanciar nenhum objeto?

hehehehe, existem mil formas de se burlar a segurança de um sistema, não se trata somente de instanciar objetos, basta ler qualquer livro a respeito de hackers e segurança de aplicações web, vc vai entender do que estou falando.

Estou estudando um pouco a respeito de segurança em aplicações web e tenho visto diversas formas de se executar código malicioso no servidor.

Uma dessas formas de invasão é através da manipulação do request, por isso questionei se o Velocity fazia algum tratamento, o que até o momento imagino que não faz.

:arrow:

Dê um exemplo de request malicioso que poderia ferrar um sistema feito em velocity… nao ficou mto claro