On 6/29/07, Ricardo L. A. Banffy <[EMAIL PROTECTED]> wrote:
Mas eu posso afirmar categoricamente que, em Zope/Plone, não dá pra fazer SQL injection. Não dá porque ele não guarda o conteúdo em tabelas de um banco de dados relacional
Bem lembrado, só complementando, Dependendo do produto zope tem uns que usam DBAL's (Database Abstraction Layer) para banco de dados relacionais. Não é a maneira de fazer produtos para um CMS zope, mas tem. Outros sistemas que não são para CMS com certeza usam muito banco de dados relacional, mesmo assim o zope tem tags dtml para parsear dados que serão usados numa query sql, e essas tags para evitar sql injections. Mesmo assim, trocar um dtml-sqlvar por um dtml-var está a cargo do desenvolvedor, e o zope não parece mais seguro que o php neste aspecto, pois o phpero pode usar ou deixar de usar um addslashes assim como um zopista com o mesmo efeito pode usar ou deixar de usar dtml-sqlvar, é só uma questão de educação. Então, a segurança do Zope/Plone contra sql injections em relação à outros CMS é que estes outros usam sql para persitência dos dados, e o Plone não. Como você falou, os ploneros são sim garantidos de estarem livres de sql injections, pois pra início de conversa nem usam SQL. Hehehe, quer mais o quê né? -- Opções desconhecidas do gcc: gcc --bend-finger=padre_quevedo O que faz: dobra o dedo do Padre Quevedo durante a execução do código compilado. Não uso termos em latim, mas poderia: http://en.wikipedia.org/wiki/List_of_Latin_phrases_(full) A ignorância é um mecanismo que capacita um tomate a saber de tudo. "Que os fontes estejam com você..." Glauber Machado Rodrigues PSL-MA jabber: [EMAIL PROTECTED] _______________________________________________ PSL-Brasil mailing list [email protected] http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil
