Chará, Ele escapa todas as aspas que você envia em requests.
2011/4/14 Erick Patrick <[email protected]> > Eric Saboia: > - Fiz uns testes aqui antes mesmo de mandar para cá esse e-mail. Tanto que > foi por isso que perguntei quais os métodos e contra o que o CI realmente > se > protege. Espero que não seja no CI e tenha sido algum outro problema que > esteja além das nossas mãos (digo, mãos dos programadores). > > Anderson: > Como falei no primeiro e-mail, estamos usando a versão 3.1.1 que é a > estável > mais atual. > > Obrigado a todos, > > > > > > 2011/4/14 Eric Saboia <[email protected]> > > > Se você ta com essa desconfiança, porque não tenta fazer um SQL Injection > > num form do CI? garanto que se o XSS_filtering ta ativo, você não vai > > conseguir nada. Isso sem contar que o próprio PHP tem uma diretiva, que > se > > não me engano, a partir do PHP 5, vem habilitada por default e que também > > previne o escape de aspas em inputs. > > > > SQL Injection é coisa do "passado", eu procuraria por outro tipo de > falha. > > > > 2011/4/14 Erick Patrick <[email protected]> > > > > > Jairo: > > > - Trabalhamos numa empresa que prover serviços de internet via rádio em > > > nossa cidade. Os servers de nossas aplicações ficam aqui mesmo na > cidade. > > > Quem tem acesso ao DB somos os 2 programadores e 1 admin. Segundo o > > pessoal > > > que trabalha com a segurança dos servidores, sofremos ataques todos os > > > dias, > > > mas não somos invadidos há pelo menos 3 anos. Daí a dúvida em ser no > > > Wordpress ou no CI; > > > > > > Segundo o user_guide do CI, as chamadas a métodos da Classe Input é > > > escapado > > > automaticamente, como diz essa página aqui > > > http://codeigniter.com/user_guide/libraries/input.html e, como disse > > > antes, > > > o *XSS_filtering* estava ativado no momento. Não usamos SQL própria, > > > somente > > > os comandos do active record. > > > > > > No formulário de login que a aplicação tem, não usamos captcha. E não, > > não > > > salvamos nenhum dos comandos DML no banco e mesmo que o fizessemos, > acho > > > meio dificil que ficasse guardado em algum dos backups se tiver sido > > algum > > > SQL-injection, já que a database foi apagada por completo. > > > > > > E como você comentou, não é o caso de apagar dados de uma tabela com > > > *delete > > > cascade* como foi o seu, a gente realmente teve a base de dados > apagada. > > > > > > No mais, obrigado mais uma vez. > > > > > > > > > > > > > > > > > > 2011/4/14 Jairo <[email protected]> > > > > > > > Precisa analisar se a invasão veio de outras fontes. > > > > O banco tá num servidor em 'casa' ou hospedado fora ? > > > > Quem tem senha de acesso ao DB ? > > > > Tem rotina de backup automatizada ? Mexeram no script ? > > > > > > > > Falando do CI, temos alguns pontos : > > > > - acesso direto a alguma página não daria, o próprio CI protege; > > > > - algum campo de algum FORM que não esteja "escapado", permitiria o > sql > > > > injection (?!); > > > > - Brute force, provavelmente só numa tela de login. Usou captcha ? > > > > Escape ? Congelou o login por 15 minutos em 3 tentativas erradas, > > > > etc... ? > > > > - vc. usa logs dos comandos DML no banco ? usuário, IP, etc... > > > > > > > > A muito tempo atrás, ainda no DataFlex, eu cometi um erro grosseiro > de > > > > lógica de programação mesmo. Rolava um delete cascade onde não > deveria. > > > > Só que ele apagava apenas uma tabela, parece que não é seu caso, pois > o > > > > banco todo sumiu ! > > > > > > > > -- > > > > Abs, > > > > > > > > Jairo > > > > Sao Paulo / SP - Brasil > > > > > > > > > > > > On Thu, 2011-04-14 at 09:41 -0300, Erick Patrick wrote: > > > > > Pessoal, > > > > > > > > > > No local onde trabalhamos, por algum motivo do destino, a base de > > dados > > > > do > > > > > CI está no mesmo local que a base de dados de uma instalação > > wordpress > > > > > 3.1.1. De ontem para hoje, tivemos ambas as base de dados > deletadas. > > > Por > > > > > esse motivo, gostaria de saber se alguém sabe quais os métodos anti > > > > > SQL-injection, anti XSS e quaisquer outras medidas que o CI usa > para > > > > poder > > > > > proteger a aplicação contra ataques. Além disso, para deixar > avisado, > > > já > > > > vi > > > > > no user_guide que eles fazem escape no *$this->input;* o > > > > > *XSS_filtering*estava ativado quando a base de dados foi deletada; > e > > > > > estavamos usando o > > > > > *Active Record* para acessar as consultas SQL. > > > > > > > > > > Será que o problema foi alguma possibilidade de hacking através do > > > > Wordpress > > > > > ou um puro e simples brute-force com possíveis usuários e senha na > > base > > > > de > > > > > dados? > > > > > > > > > > Desde já, agradeço qualquer ajuda, > > > > > > > > > > > > > > > > _______________________________________________ > > > > [email protected] > > > > http://www.codeigniter.com.br > > > > http://codeigniter.com.br/mailman/listinfo/lista_codeigniter.com.br > > > > > > > > --------------------------- > > > > Oportunidade de negócio > > > > http://www.franquiasargohost.net > > > > --------------------------- > > > > > > > _______________________________________________ > > > [email protected] > > > http://www.codeigniter.com.br > > > http://codeigniter.com.br/mailman/listinfo/lista_codeigniter.com.br > > > > > > --------------------------- > > > Oportunidade de negócio > > > http://www.franquiasargohost.net > > > --------------------------- > > > > > > > > > > > -- > > Eric Saboia - eric.saboia.org > > > > Beautiful is better than ugly, > > Explicit is better than implicit, > > Simple is better than complex, > > Complex is better than complicated. > > > > The Zen of Python, by Tim Peters > > _______________________________________________ > > [email protected] > > http://www.codeigniter.com.br > > http://codeigniter.com.br/mailman/listinfo/lista_codeigniter.com.br > > > > --------------------------- > > Oportunidade de negócio > > http://www.franquiasargohost.net > > --------------------------- > > > _______________________________________________ > [email protected] > http://www.codeigniter.com.br > http://codeigniter.com.br/mailman/listinfo/lista_codeigniter.com.br > > --------------------------- > Oportunidade de negócio > http://www.franquiasargohost.net > --------------------------- > -- Eric Saboia - eric.saboia.org Beautiful is better than ugly, Explicit is better than implicit, Simple is better than complex, Complex is better than complicated. The Zen of Python, by Tim Peters _______________________________________________ [email protected] http://www.codeigniter.com.br http://codeigniter.com.br/mailman/listinfo/lista_codeigniter.com.br --------------------------- Oportunidade de negócio http://www.franquiasargohost.net ---------------------------
