Sim, é possivel. Na verdade não devemos olhar pela ótica da interface Web X Desktop, mas sim pela camada de apresentação da aplicação, indiferente de onde venha, os dados sempre tem que ser 'sanitizados'.
Att. Éverton Evaristo Em 1 de novembro de 2011 14:04, Milton Bastos Henriquis Junior < milton.bas...@meta.com.br> escreveu: > ** > > > Este é oficial da Oracle, disponível pra download: > > How to write SQL injection proof PL/SQL< > http://www.oracle.com/us/products/database/how-to-write-injection-proof-plsql-1-129572.pdf > > > > http://www.oracle.com/us/products/database/how-to-write-injection-proof-plsql-1-129572.pdf > > Há também um tutorial online a respeito: > > Tutorial > on Defending Against SQL Injection Attacks > http://st-curriculum.oracle.com/tutorial/SQLInjection/index.htm > > Especificamente sobre sua pergunta: "Ataques via SQL Injection somente > podem acontecer em bancos de dados que rodem aplicações web?" > > R: acredito que seja possível sim acontecer um ataque deste tipo em uma > aplicação Desktop. > Na "prática" o que vemos são aplicações Desktop usadas em rede locais, e > aplicativos Web tem exatamente a característica de poder ser "rodado" a > partir de qualquer browser conectado a internet. > Portanto, conceitualmente, se você tem uma aplicação Desktop na grande > maioria das vezes estará rodando em uma rede local - e nesse caso fica mais > fácil fazer um rastreamento e também uma auditoria de QUEM está executando > um código suspeito. > Ou seja: um funcionário de uma empresa iria se arriscar a atacar uma base > de dados via SQL Injection dentro de sua própria empresa? Muitos poderiam > ter essa intenção, mas fica mais fácil descobrir o culpado pelo IP da rede > interna. > Já via WEB um indiano ou um chinês pode acessar um sistema Web (óbvio, > desde que seja um sistema Web liberado, e não restrito como uma Intranet > por exemplo), e se houver brecha para um SQL injection difcilmente alguém > conseguirá rastrear e "processar" o sujeito na justiça. > > > Att, > -- > Milton Bastos > http://miltonbastos.com > > De: oracle_br@yahoogrupos.com.br [mailto:oracle_br@yahoogrupos.com.br] Em > nome de Milton Bastos Henriquis Junior > Enviada em: terça-feira, 1 de novembro de 2011 13:40 > Para: oracle_br@yahoogrupos.com.br > Assunto: RES: [oracle_br] SQL Injection > > > Eu tenho um material da Oracle específico sobre SQL Injection. > > Vou disponibilizar em algum lugar e posto aqui o link pra vocês. > > Att, > > -- > Milton Bastos > http://miltonbastos.com > > De: oracle_br@yahoogrupos.com.br<mailto:oracle_br%40yahoogrupos.com.br> > [mailto:oracle_br@yahoogrupos.com.br<mailto:oracle_br%40yahoogrupos.com.br>] > Em nome de lfr_66 > > Enviada em: terça-feira, 1 de novembro de 2011 12:51 > Para: oracle_br@yahoogrupos.com.br<mailto:oracle_br%40yahoogrupos.com.br> > > Assunto: [oracle_br] SQL Injection > > Senhores, > Sou totalmente leigo a respeito de SQL Injection e gostaria de uma ajuda. > Ataques via SQL Injection somente podem acontecer em bancos de dados que > rodem aplicações web? Há algum parâmetro de banco (ou boas práticas) que > cuide da segurança para esse tipo de situação ou tudo que se pode fazer pra > evitar esse tipo de ataque são tratadas nas camadas de aplicação e rede? > Obrigado! > Luiz Rocha > > Clique aqui<https://www.mailcontrol.com/sr/wQw0zmjPoHdJTZGyOCrrhg==>> > para reportar este e-mail como SPAM. > > This message has been scanned for malware by Websense. www.websense.com > > [As partes desta mensagem que não continham texto foram removidas] > > <https://www.mailcontrol.com/sr/wQw0zmjPoHdJTZGyOCrrhg==> > > > [As partes desta mensagem que não continham texto foram removidas] > > > [As partes desta mensagem que não continham texto foram removidas]