Oi Xiru,
Obvio que sim. Ele deixa passar quotado caso o teu codigo assim esteja
feito (duma forma correcta). Caso nao utilizes o type=string ou uses
dtml-var em vez do correcto dtml-sqlvar ele vai deixar fazer sql
injection.
E olha que ja vi muita gente a usar o dtml-var dentro de um sql method
Amigos Zope
Estive lendo sobre mal uso de determinados comandos inseridos em caixa
de texto como forma de invasão ou tentativa de derrubada, isto
relativo as pg escritas com outros scripts que não python.
Existe este tipo de perigo no Zope/Plone??
Alguém já leu relatos parecidos?
EdgardCosta
Olá Edgar,
você não foi nem um pouco específico, mas em linhas gerais, o Zope é
imune a ataques de SQL Injection e ataques de XSS são possíveis apenas
em teoria.
Eu reformularia a pergunta para algo mais específico...
Att.
Fabiano Weimar
2008/6/6 Edgard Costa [EMAIL PROTECTED]:
Amigos Zope
2008/6/6 Edgard Costa [EMAIL PROTECTED]:
Amigos Zope
Opa!
Estive lendo sobre mal uso de determinados comandos inseridos em caixa
de texto como forma de invasão ou tentativa de derrubada, isto
relativo as pg escritas com outros scripts que não python.
Você está falando de SQLInjetion[1] e
Oi Xiru,
A tua resposta tb nao foi muito clara...
No caso de sql injections o Zope, na realidade, é TRANSPARENTE a SQL
Injections. Ou seja... Se atras do Zope estiver um sistema de base de
dados como, por exemplo, o MySQL e nao estivermos à espera destas sql
injections entao o Zope deixa passar
Oi Hugo,
na verdade, ele deixa passar escapeado (caso você tenha escrito seu
código adequadamente).
Veja o email do Castardo, postado apos o meu...
Att.
Fabiano Weimar
2008/6/6 Hugo Ramos [EMAIL PROTECTED]:
Oi Xiru,
A tua resposta tb nao foi muito clara...
No caso de sql injections o
Vale lembrar que é necessário ficar atento aos hotfix tanto do plone quanto
do Zope.
2008/6/6 Ricardo Bánffy [EMAIL PROTECTED]:
A menos que você use coisas como dtmo-sqlvar em suas queries. O Zope
é bem seguro - você precisa criar suas próprias falhas de segurança
;-)
2008/6/6 Hugo
