Re: [zope-pt] Perigo para segurança do Zope

2008-06-08 Por tôpico Hugo Ramos
Oi Xiru, Obvio que sim. Ele deixa passar quotado caso o teu codigo assim esteja feito (duma forma correcta). Caso nao utilizes o type=string ou uses dtml-var em vez do correcto dtml-sqlvar ele vai deixar fazer sql injection. E olha que ja vi muita gente a usar o dtml-var dentro de um sql method o

Re: [zope-pt] Perigo para segurança do Zope

2008-06-06 Por tôpico Pablo Nogueira
Vale lembrar que é necessário ficar atento aos hotfix tanto do plone quanto do Zope. 2008/6/6 Ricardo Bánffy <[EMAIL PROTECTED]>: > A menos que você use coisas como é bem seguro - você precisa criar suas próprias falhas de segurança > ;-) > > > 2008/6/6 Hugo Ramos <[EMAIL PROTECTED] >: > > O

Re: [zope-pt] Perigo para segurança do Zope

2008-06-06 Por tôpico Ricardo Bánffy
A menos que você use coisas como : > Oi Xiru, > > A tua resposta tb nao foi muito clara... > > No caso de sql injections o Zope, na realidade, é TRANSPARENTE a SQL > Injections. Ou seja... Se atras do Zope estiver um sistema de base de > dados como, por exemplo, o MySQL e nao estivermos à espera de

Re: [zope-pt] Perigo para segurança do Zope

2008-06-06 Por tôpico Fabiano Weimar dos Santos
Oi Hugo, na verdade, ele "deixa passar" escapeado (caso você tenha escrito seu código adequadamente). Veja o email do Castardo, postado apos o meu... Att. Fabiano Weimar 2008/6/6 Hugo Ramos <[EMAIL PROTECTED]>: > Oi Xiru, > > A tua resposta tb nao foi muito clara... > > No caso de sql injecti

Re: [zope-pt] Perigo para segurança do Zope

2008-06-06 Por tôpico Hugo Ramos
Oi Xiru, A tua resposta tb nao foi muito clara... No caso de sql injections o Zope, na realidade, é TRANSPARENTE a SQL Injections. Ou seja... Se atras do Zope estiver um sistema de base de dados como, por exemplo, o MySQL e nao estivermos à espera destas sql injections entao o Zope deixa passar o

Re: [zope-pt] Perigo para segurança do Zope

2008-06-06 Por tôpico Rodrigo Castardo
2008/6/6 Edgard Costa <[EMAIL PROTECTED]>: > > Amigos Zope Opa! > Estive lendo sobre mal uso de determinados comandos inseridos em caixa > de texto como forma de invasão ou tentativa de derrubada, isto > relativo as pg escritas com outros scripts que não python. Você está falando de SQLInjetion[

Re: [zope-pt] Perigo para segurança do Zope

2008-06-06 Por tôpico Fabiano Weimar dos Santos
Olá Edgar, você não foi nem um pouco específico, mas em linhas gerais, o Zope é imune a ataques de SQL Injection e ataques de XSS são possíveis apenas em teoria. Eu reformularia a pergunta para algo mais específico... Att. Fabiano Weimar 2008/6/6 Edgard Costa <[EMAIL PROTECTED]>: > Amigos Zop

[zope-pt] Perigo para segurança do Zope

2008-06-06 Por tôpico Edgard Costa
Amigos Zope Estive lendo sobre mal uso de determinados comandos inseridos em caixa de texto como forma de invasão ou tentativa de derrubada, isto relativo as pg escritas com outros scripts que não python. Existe este tipo de perigo no Zope/Plone?? Alguém já leu relatos parecidos? EdgardCosta