Oi Xiru,

Obvio que sim. Ele deixa passar quotado caso o teu codigo assim esteja
feito (duma forma correcta). Caso nao utilizes o type=string ou uses
dtml-var em vez do correcto dtml-sqlvar ele vai deixar fazer sql
injection.

E olha que ja vi muita gente a usar o dtml-var dentro de um sql method
ou esquecer o type quando usa o dtml-sqlvar... :-)

Por isso eu referi que é seguro mas apenas no caso do nosso codigo
estar correcto. ;-)


Abracos
Hugo



2008/6/6 Fabiano Weimar dos Santos <[EMAIL PROTECTED]>:
> Oi Hugo,
>
> na verdade, ele "deixa passar" escapeado (caso você tenha escrito seu
> código adequadamente).
>
> Veja o email do Castardo, postado apos o meu...
>
> Att.
>
> Fabiano Weimar
>
>
> 2008/6/6 Hugo Ramos <[EMAIL PROTECTED]>:
>> Oi Xiru,
>>
>> A tua resposta tb nao foi muito clara...
>>
>> No caso de sql injections o Zope, na realidade, é TRANSPARENTE a SQL
>> Injections. Ou seja... Se atras do Zope estiver um sistema de base de
>> dados como, por exemplo, o MySQL e nao estivermos à espera destas sql
>> injections entao o Zope deixa passar o codigo malicioso para o MySQL e
>> este vai executar as ordens dadas na caixa de texto.
>>
>> CU
>> Hugo
>>
>> 2008/6/6 Fabiano Weimar dos Santos <[EMAIL PROTECTED]>:
>>
>>> Olá Edgar,
>>>
>>> você não foi nem um pouco específico, mas em linhas gerais, o Zope é
>>> imune a ataques de SQL Injection e ataques de XSS são possíveis apenas
>>> em teoria.
>>>
>>> Eu reformularia a pergunta para algo mais específico...
>>>
>>> Att.
>>>
>>> Fabiano Weimar
>>>
>>>
>>> 2008/6/6 Edgard Costa <[EMAIL PROTECTED]>:
>>>> Amigos Zope
>>>>
>>>> Estive lendo sobre mal uso de determinados comandos inseridos em caixa
>>>> de texto como forma de invasão ou tentativa de derrubada, isto
>>>> relativo as pg escritas com outros scripts que não python.
>>>>
>>>> Existe este tipo de perigo no Zope/Plone??
>>>>
>>>> Alguém já leu relatos parecidos?
>>>>
>>>> EdgardCosta
>>>>
>>>>
>>>
>>>
>>>
>>> --
>>> ==================================
>>> Fabiano Weimar dos Santos (xiru)
>>> Weimar Consultoria
>>>
>>> Hospedagem Plone, Django, Zope 3, Grok...
>>> http://www.pytown.com
>>> ==================================
>>>
>>> ------------------------------------
>>>
>>> Para enviar uma mensagem: zope-pt@yahoogrupos.com.br
>>> Para desistir envie uma mensagem em branco para:
>>> [EMAIL PROTECTED] do Yahoo! Grupos
>>>
>>>
>>>
>>
>> --
>> Hugo Ramos - IT Project Manager
>> home -> http://www.hugoramos.eu/
>> tech -> http://otuggatech.blogspot.com/
>> [EMAIL PROTECTED]
>>
>
>
>
> --
> ==================================
> Fabiano Weimar dos Santos (xiru)
> Weimar Consultoria
>
> Hospedagem Plone, Django, Zope 3, Grok...
> http://www.pytown.com
> ==================================
>
> ------------------------------------
>
> Para enviar uma mensagem: zope-pt@yahoogrupos.com.br
> Para desistir envie uma mensagem em branco para: [EMAIL PROTECTED] do Yahoo! 
> Grupos
>
>
>



-- 
Hugo Ramos - IT Project Manager
home -> http://www.hugoramos.eu/
tech -> http://otuggatech.blogspot.com/
[EMAIL PROTECTED]

Responder a