On 6/29/07, Ricardo L. A. Banffy <[EMAIL PROTECTED]> wrote:
Mas eu posso afirmar categoricamente que, em Zope/Plone, não dá pra
fazer SQL injection. Não dá porque ele não guarda o conteúdo em tabelas
de um banco de dados relacional


Bem lembrado, só complementando,

Dependendo do produto zope tem uns que usam DBAL's (Database
Abstraction Layer) para banco de dados relacionais. Não é a maneira de
fazer produtos para um CMS zope, mas tem.

Outros sistemas que não são para CMS com certeza usam muito banco de
dados relacional, mesmo assim o zope tem tags dtml para parsear dados
que serão usados numa query sql, e essas tags para evitar sql
injections.

Mesmo assim, trocar um dtml-sqlvar por um dtml-var está a cargo do
desenvolvedor, e o zope não parece mais seguro que o php neste
aspecto, pois o phpero pode usar ou deixar de usar um addslashes assim
como um zopista  com o mesmo efeito pode usar ou deixar de usar
dtml-sqlvar, é só uma questão de educação.

Então, a segurança do Zope/Plone contra sql injections em relação à
outros CMS é que estes outros usam sql para persitência dos dados, e o
Plone não. Como você falou, os ploneros são sim garantidos de estarem
livres de sql injections, pois pra início de conversa nem usam SQL.
Hehehe, quer mais o quê né?

--
Opções desconhecidas do gcc:
 gcc --bend-finger=padre_quevedo
O que faz:
 dobra o dedo do Padre Quevedo durante a execução do código compilado.

Não uso termos em latim, mas poderia:
http://en.wikipedia.org/wiki/List_of_Latin_phrases_(full)

A ignorância é um mecanismo que capacita um tomate a saber de tudo.


          "Que os fontes estejam com você..."

Glauber Machado Rodrigues
PSL-MA

jabber: [EMAIL PROTECTED]
_______________________________________________
PSL-Brasil mailing list
PSL-Brasil@listas.softwarelivre.org
http://listas.softwarelivre.org/mailman/listinfo/psl-brasil
Regras da lista:
http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil

Responder a