[flexdev] PHP FIREBIRD evitar SQL injection
58 views
Skip to first unread message
eduardo.freitag.1971
May 4, 2010, 5:22:23 PM5/4/10
to fle...@googlegroups.com
Estou usando o PHP para acessar minha base de dados FIREBIRD.
Qual a melhor maneira pra fazer as consultas em SQL ?
Quero dizer para evitar SQL injection.
Fazer procedures ?
Eduardo
Você recebeu esta mensagem porque está inscrito na lista "flexdev"
Para enviar uma mensagem, envie um e-mail para fle...@googlegroups.com
Para sair da lista, envie um email em branco para flexdev-u...@googlegroups.com
Mais opções estão disponíveis em http://groups.google.com/group/flexdev
Gabriela Trindade Perry
May 4, 2010, 5:43:55 PM5/4/10
to flexdev
nope. isso independe do banco.
use mysql striptags (acho que é isso). veja nos docs do php que tem um
monte de coisa.
também procure por deface, é outro ataque bagaceiro.
mas bagaceiro mesmo é invadir usando telas com filereference (tem que
ser tratado no servidor gente pelamordedeus!) :0(
mas não é só isso... se vais trabalhar com flash/flex é importante
saber que os dados vêm de onde esperas que eles venham. procure por
cross-site script. quando a gente coloca o nome do método, da classe e
ainda o que ele tem que receber (os getService da vida) tá de graça o
que o servidor está esperando. é só procurar um pouco pra achar o
endereço da classe e criar um swf que envie os dados... eu mesma
lembro que quando trabalhava com flash nem "upava" o swf, acessava o
banco de casa mesmo, do servidor mesmo...
coloque inurl:login e filetype:swf no google e abram os arquivos no
seu decompilador de swf. eu já achei até senha ali dentro :0P
use mysql striptags (acho que é isso). veja nos docs do php que tem um
monte de coisa.
também procure por deface, é outro ataque bagaceiro.
mas bagaceiro mesmo é invadir usando telas com filereference (tem que
ser tratado no servidor gente pelamordedeus!) :0(
mas não é só isso... se vais trabalhar com flash/flex é importante
saber que os dados vêm de onde esperas que eles venham. procure por
cross-site script. quando a gente coloca o nome do método, da classe e
ainda o que ele tem que receber (os getService da vida) tá de graça o
que o servidor está esperando. é só procurar um pouco pra achar o
endereço da classe e criar um swf que envie os dados... eu mesma
lembro que quando trabalhava com flash nem "upava" o swf, acessava o
banco de casa mesmo, do servidor mesmo...
coloque inurl:login e filetype:swf no google e abram os arquivos no
seu decompilador de swf. eu já achei até senha ali dentro :0P
eduardo.freitag.1971
May 5, 2010, 8:16:22 PM5/5/10
to fle...@googlegroups.com
Gabriela
Obrigado pelas dicas já dei um melhorada no meu código.
Eduardo
Obrigado pelas dicas já dei um melhorada no meu código.
Eduardo
Reply all
Reply to author
Forward
0 new messages