Ernesto, tudo bem?<div><br></div><div>SQL Injection é um tipo de ataque que explora vulnerabilidades nos formulários da aplicação. Por exemplo em um campo de busca, onde deveria haver uma expressão a ser pesquisada no banco, o hacker insere código SQL que executa ações indesejadas no banco de dados. Na Wikipédia existem alguns exemplos:</div>
<div><br></div><div><a href="http://pt.wikipedia.org/wiki/Inje%C3%A7%C3%A3o_de_SQL">http://pt.wikipedia.org/wiki/Inje%C3%A7%C3%A3o_de_SQL</a></div><div><br></div><div>O detalhe importante é que este tipo de ataque só vai funcionar em aplicações que usam bancos de dados relacionais ou que usam a linguagem SQL para manipular os dados do banco. Este não é o caso do LILDBI e de nenhuma outra aplicação do modelo da BVS. Então, por definição, o problema do nosso amigo na lista de ISIS não é SQL Injection.</div>
<div><br></div><div>Mas isso não quer dizer que estas aplicações não tenham suas vulnerabilidades. A maioria delas faz suas manipulações nas bases de dados através de chamadas HTTP sem qualquer tipo de verificação, desta forma se uma pessoa mal intencionada descobrir os parâmetros corretos ela pode alterar as bases de dados sem se autenticar na aplicação. Isso se deve ao fato de que a camada ISIS, responsável pela persistência dos dados nas bases, não prove qualquer tipo de verificação ou autenticação, portanto este problema não esta no PHP nem a aplicação em si, mas sim na forma de gravar os dados.</div>
<div><br></div><div>Espero ter ajudado =D</div><div><br></div><div>Um abraço, Rafael Novello<br><br><div class="gmail_quote">2011/11/15 spinaker <span dir="ltr"><<a href="mailto:spinaker@adinet.com.uy">spinaker@adinet.com.uy</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div bgcolor="#FFFFFF" text="#000000">
<font color="navy" face="Arial" size="2"><span style="font-size:10.0pt;font-family:Arial;color:navy"><u></u><u></u></span></font><big>Recientemente
se puso esta consulta en la lista de usuarios de ISIS<br>
acerca de la vulnerabilidad de LILACS sobre el SQL Injection<br>
¿Bireme tiene sugerencias sobre este tipo de ataque?<br>
<br>
abc<br>
Ernesto Spinak</big><br>
<br>
<blockquote type="cite">
<div>
<div>
<div class="MsoNormal" style="text-align:center" align="center"><font face="Times New Roman" size="3"><span style="font-size:12.0pt">
<hr align="center" size="2" width="100%">
</span></font></div>
<p class="MsoNormal"><b><font face="Tahoma" size="2"><span style="font-size:10.0pt;font-family:Tahoma;font-weight:bold">De :</span></font></b><font face="Tahoma" size="2"><span style="font-size:10.0pt;font-family:Tahoma">
<a href="mailto:isis-users-bounces@iccisis.org" target="_blank">isis-users-bounces@iccisis.org</a>
[<a href="mailto:isis-users-bounces@iccisis.org" target="_blank">mailto:isis-users-bounces@iccisis.org</a>] <b><span style="font-weight:bold">De la
part de</span></b> Calbet Roselló, Ernesto<br>
<b><span style="font-weight:bold">Envoyé :</span></b>
mardi 15 novembre
2011 08:46<br>
<b><span style="font-weight:bold">À :</span></b>
<a href="mailto:isis-users@iccisis.org" target="_blank">isis-users@iccisis.org</a><br>
<b><span style="font-weight:bold">Objet :</span></b>
[Isis-users] isis
seguridad</span></font><u></u><u></u></p>
</div>
<p class="MsoNormal"><font face="Times New Roman" size="3"><span style="font-size:12.0pt"><u></u> <u></u></span></font></p>
<div>
<div>
<p class="MsoNormal"><big><big><font color="black" face="Arial" size="2"><big><big><span style="font-size:10.0pt;font-family:Arial;color:black">Colaboro en una base de datos
accesible en Internet, implementada
con las herramientas de Bireme en un entorno
Linux. Los informáticos han
apagado el servidor en el que estaba instalada
la base porque dicen que ha sido
atacado por SQL injection. Yo no soy
informático, pero ¿podría alguien
darme una pista para que la pase a los
informáticos sobre algún
procedimiento para evitar la introducción de
código?. Gracias por vuestra
colaboración.</span></big></big></font></big></big><font color="black"><span style="color:black"><u></u><u></u></span></font></p>
<p class="MsoNormal"><font color="black" face="Times New Roman" size="3"><span style="font-size:12.0pt;color:black"> <u></u><u></u></span></font></p>
</div>
</div>
</div>
<br>
<fieldset></fieldset>
<br>
<pre>_______________________________________________
isis-users mailing list
<a href="mailto:isis-users@iccisis.org" target="_blank">isis-users@iccisis.org</a>
To manage your own subscription options go to: <a href="http://lists.iccisis.org/listinfo/isis-users" target="_blank">http://lists.iccisis.org/listinfo/isis-users</a>
Or contact Henk Rutten: <a href="mailto:hlrutten@xs4all.nl" target="_blank">hlrutten@xs4all.nl</a>
</pre>
</blockquote>
<br>
<br>
<pre cols="72">--
.^. .^.
( ) ( )
=== ===
=[=]================================[=]=
| | Ernesto Spinak | |
| | <a href="mailto:spinaker@adinet.com.uy" target="_blank">spinaker@adinet.com.uy</a> | |
| | Montevideo, Uruguay | |
| | tel/fax (598) 2622-3352 | |
| | celular (598) 99612238 | |
=[=]================================[=]=
=== ===
( ) ( )
V V </pre>
</div>
<br>_______________________________________________<br>
Reddes.bvs-tech mailing list<br>
<a href="mailto:Reddes.bvs-tech@listas.bireme.br">Reddes.bvs-tech@listas.bireme.br</a><br>
<a href="http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech" target="_blank">http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br>Atenciosamente,<br>Rafael Novello.<br>
</div>