Arquivo Discussoes de Programacao e Tecnologia Olá pessoal…
Como todos sabem, uma das piores técnicas de se evitar sql injection é usar javascript… por motivos óbvios de simplesmente ele ser desabilitado no browser…
Pórem,
ESTÁ NOS REQUISITOS levantados de um projeto em que estou trabalhando. O cliente QUER que palavras reservadas do SQL sejam evitadas na tela (js).
Alguém sabe se existe um scriptizinho pronto pra isto? Tou googlando e num acho mta coisa útil não…!
Abraços!!!
Como vc falou, o js pode ser desabilitado (ou mesmo alterado) no browser.
Eu faria essa verificação no servidor.
[]´s
Como vc falou, o js pode ser desabilitado (ou mesmo alterado) no browser.
Eu faria essa verificação no servidor.[]´s
Ele pode sim fazer no servidor. É muito mais apropriado. Porém… Os malditos analistas/gerentes/filhos das primas colocaram o uso de JS como requisito!!!
Te aconselho a negociar com os responsáveis e mostrar a eles que isso TEM de ser feito no servidor. Qualquer coisa, acha um script no google coloca na aplicação e depois faz uma demonstração…
Abraços
tenho o mesmo problema com validadores de campos…
o cliente quer pq quer q salte uma janelinha e tals dizendo oq tah errado e blablabla
entao pra resolver isso eu fiz o tal do script d validacao e tambem fiz um codigo d validacao
assim fica mais segura pq se furar o script, o servidor barra!
entao recomendo q vc faça o mesmo!
Como vc falou, o js pode ser desabilitado (ou mesmo alterado) no browser.
Eu faria essa verificação no servidor.[]´s
Ele pode sim fazer no servidor. É muito mais apropriado. Porém… Os malditos analistas/gerentes/filhos das primas colocaram o uso de JS como requisito!!!
Te aconselho a negociar com os responsáveis e mostrar a eles que isso TEM de ser feito no servidor. Qualquer coisa, acha um script no google coloca na aplicação e depois faz uma demonstração…
Abraços
Realmente. Se é requisito fica complicado. O mais apropriado mesmo seria negociar e justificar.
[]´s
Se não der documente o máximo possível. Escreva tudo.
Se der merda você mostra tudo pra eles com um belo "eu avisei, vocês não quiseram saber e eu tenho que seguir os requisitos, certo? ema ema ema cada um com seus ‘pobrema’ ".
Simples assim, sério, tem situações que não vale a pena discutir muito com “gerente de requisitos” ignorante com mania de grandeza.
tenho o mesmo problema com validadores de campos…
o cliente quer pq quer q salte uma janelinha e tals dizendo oq tah errado e blablabla
entao pra resolver isso eu fiz o tal do script d validacao e tambem fiz um codigo d validacao
assim fica mais segura pq se furar o script, o servidor barra!entao recomendo q vc faça o mesmo!
Olá pessoal…
Na verdade a verificação server-side já está construída. Não é possível fazer SQL Injection no projeto em que estrou trabalhando. O problema é que eles querer esse maldito window.alert antecipando ao usuário que não é permitido a entrada de palavras chaves de SQL nos campos… =S
Queria saber se alguém tinha essa função pronta… vou começar a fazer aqui uma besteirinha pra isso…
Obgdo… =)
De uma olhada no JQuery, é facil criar validadores baseados em expressões regulares: basta vc informar o que quer evitar, por exemplo.
Agora, esse tipo de coisa tem que ser tratada server-side ,usando prepared statement, e client-side vc pode considerar certos caracteres como não permitidos vide minha dica acima.
De uma olhada no JQuery, é facil criar validadores baseados em expressões regulares: basta vc informar o que quer evitar, por exemplo.Agora, esse tipo de coisa tem que ser tratada server-side ,usando prepared statement, e client-side vc pode considerar certos caracteres como não permitidos vide minha dica acima.
Vlw cara…
Vou dar uma olhada com JQuery!