Cara, é certamente muito perigoso.
*Qual o perigo:*
- Alguém pode descobrir, e submeter SQL maliciosos.
*Como descobrem:*
- Bha, aqui se eu fazer uma enquete, terei 1001 alternativas, mais as
principais são, descompilar, Wireshark, Proxy e outros.
*Não há alternativa, terei que passar o SQL:*
- Mapeio todos os SQL e valide tudo antes de enviar para o banco.
*Qual alternativa para facilitar:*
- Crie CRUD no Servidor.
Uma alternativa que descobri e esta me ajudando muito na criação dos CRUD é
criar uma estrutura padrão no banco. Criar uma classe padrão e converte-la
facilmente para as demais
Métodos do tipo
- SELECT()
- INSERT()
- UPDATE()
- DELETE()
O Select, pode ser passado como parametro o where. Com um script valida-se
este Where passado, a fim de evitar injeção de SQL. e concatena com o select
Tipo
função SELECT(var WHERE)
{
where = valida.validaWhere(where);
var query = "SELECT * FROM tabela " + where;
var resultado = SQL.executaSQL(query);
return resultado;
}
O restante é padrão.
*Eduardo Kraus*
Desenvolvedor
[email protected]
http://blog.mxml.com.br
2009/3/4 Michael Antunes <[email protected]>
>
> Olá Pessoal..
> Gostaria de tirar algumas dúvidas com vocês.
>
> Eu tenho uma sistema Flex + Java + BlazeDS + TomCat + PostG. Em
> algumas funções, eu criei codigos SQL que estou passando para o meu
> back-end solicitar ao banco de dados.
>
> Seria interessante fazer isso?
> Se ganha alguma vantagem?
> Pode ser perigoso??
>
>
> Bom, é isso!!!
> >
>
--~--~---------~--~----~------------~-------~--~----~
Você recebeu esta mensagem porque está inscrito na lista "flexdev"
Para enviar uma mensagem, envie um e-mail para [email protected]
Para sair da lista, envie um email em branco para
[email protected]
Mais opções estão disponíveis em http://groups.google.com/group/flexdev
-~----------~----~----~----~------~----~------~--~---
