Re: [zope-pt] Re: Resposta de Formulário

2008-06-08 Por tôpico Luciano Ramalho 
2008/6/6 vinicius.osiro [EMAIL PROTECTED]:
Só uma dúvida, do modo como você explicou, o Page Template iria
 perder o contexto e a REQUEST ou estes parâmetros são enviados
 implicitamente?

O PT não perde o contexto e nem o request, porque aquela invocacao
*nao* resulta em um redirect. O que acontece quando um script invoca
um template é que o template é processado e retorna uma string com seu
HTML renderizado. Daí o seu script retorna este HTML. Tudo no contexto
do mesmo request.

[ ]s
Luciano

Re: [zope-pt] Perigo para segurança do Zope

2008-06-08 Por tôpico Hugo Ramos 
Oi Xiru,

Obvio que sim. Ele deixa passar quotado caso o teu codigo assim esteja
feito (duma forma correcta). Caso nao utilizes o type=string ou uses
dtml-var em vez do correcto dtml-sqlvar ele vai deixar fazer sql
injection.

E olha que ja vi muita gente a usar o dtml-var dentro de um sql method
ou esquecer o type quando usa o dtml-sqlvar... :-)

Por isso eu referi que é seguro mas apenas no caso do nosso codigo
estar correcto. ;-)


Abracos
Hugo



2008/6/6 Fabiano Weimar dos Santos [EMAIL PROTECTED]:
 Oi Hugo,

 na verdade, ele deixa passar escapeado (caso você tenha escrito seu
 código adequadamente).

 Veja o email do Castardo, postado apos o meu...

 Att.

 Fabiano Weimar


 2008/6/6 Hugo Ramos [EMAIL PROTECTED]:
 Oi Xiru,

 A tua resposta tb nao foi muito clara...

 No caso de sql injections o Zope, na realidade, é TRANSPARENTE a SQL
 Injections. Ou seja... Se atras do Zope estiver um sistema de base de
 dados como, por exemplo, o MySQL e nao estivermos à espera destas sql
 injections entao o Zope deixa passar o codigo malicioso para o MySQL e
 este vai executar as ordens dadas na caixa de texto.

 CU
 Hugo

 2008/6/6 Fabiano Weimar dos Santos [EMAIL PROTECTED]:

 Olá Edgar,

 você não foi nem um pouco específico, mas em linhas gerais, o Zope é
 imune a ataques de SQL Injection e ataques de XSS são possíveis apenas
 em teoria.

 Eu reformularia a pergunta para algo mais específico...

 Att.

 Fabiano Weimar


 2008/6/6 Edgard Costa [EMAIL PROTECTED]:
 Amigos Zope

 Estive lendo sobre mal uso de determinados comandos inseridos em caixa
 de texto como forma de invasão ou tentativa de derrubada, isto
 relativo as pg escritas com outros scripts que não python.

 Existe este tipo de perigo no Zope/Plone??

 Alguém já leu relatos parecidos?

 EdgardCosta





 --
 ==
 Fabiano Weimar dos Santos (xiru)
 Weimar Consultoria

 Hospedagem Plone, Django, Zope 3, Grok...
 http://www.pytown.com
 ==

 

 Para enviar uma mensagem: zope-pt@yahoogrupos.com.br
 Para desistir envie uma mensagem em branco para:
 [EMAIL PROTECTED] do Yahoo! Grupos




 --
 Hugo Ramos - IT Project Manager
 home - http://www.hugoramos.eu/
 tech - http://otuggatech.blogspot.com/
 [EMAIL PROTECTED]




 --
 ==
 Fabiano Weimar dos Santos (xiru)
 Weimar Consultoria

 Hospedagem Plone, Django, Zope 3, Grok...
 http://www.pytown.com
 ==

 

 Para enviar uma mensagem: zope-pt@yahoogrupos.com.br
 Para desistir envie uma mensagem em branco para: [EMAIL PROTECTED] do Yahoo! 
 Grupos






-- 
Hugo Ramos - IT Project Manager
home - http://www.hugoramos.eu/
tech - http://otuggatech.blogspot.com/
[EMAIL PROTECTED]