Oi Xiru,
Obvio que sim. Ele deixa passar quotado caso o teu codigo assim esteja
feito (duma forma correcta). Caso nao utilizes o type=string ou uses
dtml-var em vez do correcto dtml-sqlvar ele vai deixar fazer sql
injection.
E olha que ja vi muita gente a usar o dtml-var dentro de um sql method
ou esquecer o type quando usa o dtml-sqlvar... :-)
Por isso eu referi que é seguro mas apenas no caso do nosso codigo
estar correcto. ;-)
Abracos
Hugo
2008/6/6 Fabiano Weimar dos Santos [EMAIL PROTECTED]:
Oi Hugo,
na verdade, ele deixa passar escapeado (caso você tenha escrito seu
código adequadamente).
Veja o email do Castardo, postado apos o meu...
Att.
Fabiano Weimar
2008/6/6 Hugo Ramos [EMAIL PROTECTED]:
Oi Xiru,
A tua resposta tb nao foi muito clara...
No caso de sql injections o Zope, na realidade, é TRANSPARENTE a SQL
Injections. Ou seja... Se atras do Zope estiver um sistema de base de
dados como, por exemplo, o MySQL e nao estivermos à espera destas sql
injections entao o Zope deixa passar o codigo malicioso para o MySQL e
este vai executar as ordens dadas na caixa de texto.
CU
Hugo
2008/6/6 Fabiano Weimar dos Santos [EMAIL PROTECTED]:
Olá Edgar,
você não foi nem um pouco específico, mas em linhas gerais, o Zope é
imune a ataques de SQL Injection e ataques de XSS são possíveis apenas
em teoria.
Eu reformularia a pergunta para algo mais específico...
Att.
Fabiano Weimar
2008/6/6 Edgard Costa [EMAIL PROTECTED]:
Amigos Zope
Estive lendo sobre mal uso de determinados comandos inseridos em caixa
de texto como forma de invasão ou tentativa de derrubada, isto
relativo as pg escritas com outros scripts que não python.
Existe este tipo de perigo no Zope/Plone??
Alguém já leu relatos parecidos?
EdgardCosta
--
==
Fabiano Weimar dos Santos (xiru)
Weimar Consultoria
Hospedagem Plone, Django, Zope 3, Grok...
http://www.pytown.com
==
Para enviar uma mensagem: zope-pt@yahoogrupos.com.br
Para desistir envie uma mensagem em branco para:
[EMAIL PROTECTED] do Yahoo! Grupos
--
Hugo Ramos - IT Project Manager
home - http://www.hugoramos.eu/
tech - http://otuggatech.blogspot.com/
[EMAIL PROTECTED]
--
==
Fabiano Weimar dos Santos (xiru)
Weimar Consultoria
Hospedagem Plone, Django, Zope 3, Grok...
http://www.pytown.com
==
Para enviar uma mensagem: zope-pt@yahoogrupos.com.br
Para desistir envie uma mensagem em branco para: [EMAIL PROTECTED] do Yahoo!
Grupos
--
Hugo Ramos - IT Project Manager
home - http://www.hugoramos.eu/
tech - http://otuggatech.blogspot.com/
[EMAIL PROTECTED]