Re: (linux-br) MySQL =?iso-8859-1?q?n=E3o_aceita?= "\" em WHERE

Thiago Macieira Thu, 15 Jul 2004 16:42:08 -0700

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Subject: MySQL nï¿½o aceita "\" em WHERE
Resposta: ï¿½ claro que ele aceita. Vocï¿½ ï¿½ que estï¿½ fazendo besteira.


Leonardo Pinto wrote:
>Estou muito decepcionado com o MySQL. Sei que existem
>"N"s argumentos para este comportamento. Porï¿½m nï¿½o aceito
>como resposta nenhum deles. O fato ï¿½ que: Imaginem um
>campo bairro onde um usuï¿½rio digita "Sï¿½O MIGUEL\Sï¿½O RAFAEL"
>E apï¿½s isto ele deseja fazer uma consulta:
>select * from BAIRRO where CAMPO1 = "Sï¿½O MIGUEL\Sï¿½O RAFAEL"
>Simplesmente esta situaï¿½ï¿½o nï¿½o poderï¿½ ser realizada, pois
>o pequeno projeto MySQL nï¿½o suporta "\", ele acharï¿½ que
>estamos editando um arquivo com linefeeds. heerrrgrrrrr

Eu jï¿½ respondi isso para vocï¿½ uma vez. Vocï¿½ nï¿½o entendeu ou fez que nï¿½o 
entendeu.

Vamos para outro exemplo: imagine que seu usuï¿½rio tivesse digitado o 
seguinte (inclusive a aspa):
        Sï¿½O MIGUEL"; delete from BAIRRO;

Aï¿½, quando vocï¿½ vai procurar no banco de dados, vocï¿½ envia:
        select * from BAIRRO where CAMPO1 = "Sï¿½O MIGUEL"; delete from BAIRRO;"

O que vai ocorrer? Bom, vai apagar tudo do seu banco de dados. Legal, 
nï¿½?

Por isso que eu lhe falei antes e repito:
        NUNCA CONFIE NA INFORMAï¿½ï¿½O DO USUï¿½RIO
        toda informaï¿½ï¿½o do usuï¿½rio deve ser tratada de modo a suprimir os 
caracteres nï¿½o permitidos.

O seu aplicativo deve fazer isso: tanto o PHP quanto a prï¿½pria 
libmysqlclient jï¿½ tï¿½m funï¿½ï¿½es que fazem esse "escape" dos caracteres.

Ou seja, o seu usuï¿½rio digita:
        Sï¿½O MIGUEL\Sï¿½O RAFAEL

e vocï¿½ manda a seguinte pesquisa para o servidor:
        select * from BAIRRO where CAMPO1 = "Sï¿½O MIGUEL\\Sï¿½O RAFAEL";

Se o seu usuï¿½rio tivesse digitado aquilo que eu propus anteriormente -- 
que antes teria apagado tudo -- vocï¿½ enviaria:
        select * from BAIRRO where CAMPO1 = "Sï¿½O MIGUEL\"; delete from BAIRRO;"

Uma simples barra invertida pode ser a diferenï¿½a entre o seu sistema 
funcionar normalmente e um usuï¿½rio mal-intencionado apagar seu banco de 
dados.

Agora entendeu?

- -- 
  Thiago Macieira  -  Registered Linux user #65028
   thiago (AT) macieira (DOT) info
    ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint:
    E067 918B B660 DBD1 105C  966C 33F5 F005 6EF4 5358
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)

iD8DBQFA9uXdM/XwBW70U1gRAjdmAKCgYGvFCZRPu3UPeKBRBcC0EJ7FCgCggorv
pYDQHlcsUJx1l0wVASmykDk=
=S4Hc
-----END PGP SIGNATURE-----
---------------------------------------------------------------------------
Esta lista ï¿½ patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br

Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utilizaï¿½ï¿½o da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html

Re: (linux-br) MySQL =?iso-8859-1?q?n=E3o_aceita?= "\" em WHERE

Responder a