<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    ok,<br>
    voy a recomendar a ese usuario de aplicativos de Bireme que se
    comunique a la lista Reddes para que bireme de soporte<br>
    abc<br>
    Ernesto<br>
    <br>
    <br>
    El 15/11/2011 11:54, Rafael Novello escribi&oacute;:
    <blockquote
cite="mid:CAHWGosLNz-z8oBgrvkqx8hsMAOEcCQd-y=Y+KSBmNvngAmRLZg@mail.gmail.com"
      type="cite">Ernesto, tudo bem?
      <div><br>
      </div>
      <div>SQL Injection &eacute; um tipo de ataque que explora
        vulnerabilidades nos formul&aacute;rios da aplica&ccedil;&atilde;o. Por exemplo em um
        campo de busca, onde deveria haver uma express&atilde;o a ser
        pesquisada no banco, o hacker insere c&oacute;digo SQL que executa
        a&ccedil;&otilde;es indesejadas no banco de dados. Na Wikip&eacute;dia existem alguns
        exemplos:</div>
      <div><br>
      </div>
      <div><a moz-do-not-send="true"
          href="http://pt.wikipedia.org/wiki/Inje%C3%A7%C3%A3o_de_SQL">http://pt.wikipedia.org/wiki/Inje%C3%A7%C3%A3o_de_SQL</a></div>
      <div><br>
      </div>
      <div>O detalhe importante &eacute; que este tipo de ataque s&oacute; vai
        funcionar em aplica&ccedil;&otilde;es que usam bancos de dados relacionais ou
        que usam a linguagem SQL para manipular os dados do banco. Este
        n&atilde;o &eacute; o caso do LILDBI e de nenhuma outra aplica&ccedil;&atilde;o do modelo da
        BVS. Ent&atilde;o, por defini&ccedil;&atilde;o, o problema do nosso amigo na lista de
        ISIS n&atilde;o &eacute; SQL Injection.</div>
      <div><br>
      </div>
      <div>Mas isso n&atilde;o quer dizer que estas aplica&ccedil;&otilde;es n&atilde;o tenham suas
        vulnerabilidades. A maioria delas faz suas manipula&ccedil;&otilde;es nas
        bases de dados&nbsp;atrav&eacute;s&nbsp;de chamadas HTTP sem qualquer tipo de
        verifica&ccedil;&atilde;o, desta forma se uma pessoa mal intencionada
        descobrir os&nbsp;par&acirc;metros corretos ela pode alterar as bases de
        dados sem se autenticar na aplica&ccedil;&atilde;o. Isso se deve ao fato de
        que a camada ISIS, respons&aacute;vel pela&nbsp;persist&ecirc;ncia&nbsp;dos dados nas
        bases, n&atilde;o prove qualquer tipo de verifica&ccedil;&atilde;o ou autentica&ccedil;&atilde;o,
        portanto este problema n&atilde;o esta no PHP nem a aplica&ccedil;&atilde;o em si,
        mas sim na forma de gravar os dados.</div>
      <div><br>
      </div>
      <div>Espero ter ajudado =D</div>
      <div><br>
      </div>
      <div>Um abra&ccedil;o, Rafael Novello<br>
        <br>
        <div class="gmail_quote">2011/11/15 spinaker <span dir="ltr">&lt;<a
              moz-do-not-send="true"
              href="mailto:spinaker@adinet.com.uy">spinaker@adinet.com.uy</a>&gt;</span><br>
          <blockquote class="gmail_quote" style="margin:0 0 0
            .8ex;border-left:1px #ccc solid;padding-left:1ex;">
            <div bgcolor="#FFFFFF" text="#000000"> <font color="navy"
                face="Arial" size="2"><span
                  style="font-size:10.0pt;font-family:Arial;color:navy"></span></font><big>Recientemente

                se puso esta consulta en la lista de usuarios de ISIS<br>
                acerca de la vulnerabilidad de LILACS sobre el SQL
                Injection<br>
                &iquest;Bireme tiene sugerencias sobre este tipo de ataque?<br>
                <br>
                abc<br>
                Ernesto Spinak</big><br>
              <br>
              <blockquote type="cite">
                <div>
                  <div>
                    <div class="MsoNormal" style="text-align:center"
                      align="center"><font face="Times New Roman"
                        size="3"><span style="font-size:12.0pt">
                          <hr align="center" width="100%" size="2"> </span></font></div>
                    <p class="MsoNormal"><b><font face="Tahoma" size="2"><span
style="font-size:10.0pt;font-family:Tahoma;font-weight:bold">De&nbsp;:</span></font></b><font
                        face="Tahoma" size="2"><span
                          style="font-size:10.0pt;font-family:Tahoma"> <a
                            moz-do-not-send="true"
                            href="mailto:isis-users-bounces@iccisis.org"
                            target="_blank">isis-users-bounces@iccisis.org</a>
                          [<a moz-do-not-send="true"
                            href="mailto:isis-users-bounces@iccisis.org"
                            target="_blank">mailto:isis-users-bounces@iccisis.org</a>]
                          <b><span style="font-weight:bold">De la part
                              de</span></b> Calbet Rosell&oacute;, Ernesto<br>
                          <b><span style="font-weight:bold">Envoy&eacute;&nbsp;:</span></b>
                          mardi 15 novembre 2011 08:46<br>
                          <b><span style="font-weight:bold">&Agrave;&nbsp;:</span></b>
                          <a moz-do-not-send="true"
                            href="mailto:isis-users@iccisis.org"
                            target="_blank">isis-users@iccisis.org</a><br>
                          <b><span style="font-weight:bold">Objet&nbsp;:</span></b>
                          [Isis-users] isis seguridad</span></font></p>
                  </div>
                  <p class="MsoNormal"><font face="Times New Roman"
                      size="3"><span style="font-size:12.0pt">&nbsp;</span></font></p>
                  <div>
                    <div>
                      <p class="MsoNormal"><big><big><font color="black"
                              face="Arial" size="2"><big><big><span
                                    style="font-size:10.0pt;font-family:Arial;color:black">Colaboro
                                    en una base de datos accesible en
                                    Internet, implementada con las
                                    herramientas de Bireme en un entorno
                                    Linux. Los inform&aacute;ticos han apagado
                                    el servidor en el que estaba
                                    instalada la base porque dicen que
                                    ha sido atacado por SQL injection.
                                    Yo no soy inform&aacute;tico, pero &nbsp;&iquest;podr&iacute;a
                                    alguien darme una pista para &nbsp;que la
                                    pase a los inform&aacute;ticos sobre alg&uacute;n
                                    procedimiento para evitar la
                                    introducci&oacute;n de c&oacute;digo?. Gracias por
                                    vuestra colaboraci&oacute;n.</span></big></big></font></big></big><font
                          color="black"><span style="color:black"></span></font></p>
                      <p class="MsoNormal"><font color="black"
                          face="Times New Roman" size="3"><span
                            style="font-size:12.0pt;color:black">&nbsp;</span></font></p>
                    </div>
                  </div>
                </div>
                <br>
                <fieldset></fieldset>
                <br>
                <pre>_______________________________________________
isis-users mailing list
<a moz-do-not-send="true" href="mailto:isis-users@iccisis.org" target="_blank">isis-users@iccisis.org</a>
To manage your own subscription options go to: <a moz-do-not-send="true" href="http://lists.iccisis.org/listinfo/isis-users" target="_blank">http://lists.iccisis.org/listinfo/isis-users</a>
Or contact Henk Rutten: <a moz-do-not-send="true" href="mailto:hlrutten@xs4all.nl" target="_blank">hlrutten@xs4all.nl</a>
</pre>
              </blockquote>
              <br>
              <br>
              <pre cols="72">-- 
  .^.                                .^.
  ( )                                ( )
  ===                                ===
 =[=]================================[=]=
  | |  Ernesto Spinak                | |
  | |  <a moz-do-not-send="true" href="mailto:spinaker@adinet.com.uy" target="_blank">spinaker@adinet.com.uy</a>        | |
  | |  Montevideo, Uruguay           | |
  | |  tel/fax  (598) 2622-3352      | |
  | |  celular  (598) 99612238      | |
 =[=]================================[=]=
  ===                                ===
  ( )                                ( )
   V                                  V </pre>
            </div>
            <br>
            _______________________________________________<br>
            Reddes.bvs-tech mailing list<br>
            <a moz-do-not-send="true"
              href="mailto:Reddes.bvs-tech@listas.bireme.br">Reddes.bvs-tech@listas.bireme.br</a><br>
            <a moz-do-not-send="true"
              href="http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech"
              target="_blank">http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech</a><br>
            <br>
          </blockquote>
        </div>
        <br>
        <br clear="all">
        <div><br>
        </div>
        -- <br>
        Atenciosamente,<br>
        Rafael Novello.<br>
      </div>
    </blockquote>
    <br>
    <br>
    <pre class="moz-signature" cols="72">-- 
  .^.                                .^.
  ( )                                ( )
  ===                                ===
 =[=]================================[=]=
  | |  Ernesto Spinak                | |
  | |  <a class="moz-txt-link-abbreviated" href="mailto:spinaker@adinet.com.uy">spinaker@adinet.com.uy</a>        | |
  | |  Montevideo, Uruguay           | |
  | |  tel/fax  (598) 2622-3352      | |
  | |  celular  (598) 99612238      | |
 =[=]================================[=]=
  ===                                ===
  ( )                                ( )
   V                                  V </pre>
  </body>
</html>