Oi Xiru, Obvio que sim. Ele deixa passar quotado caso o teu codigo assim esteja feito (duma forma correcta). Caso nao utilizes o type=string ou uses dtml-var em vez do correcto dtml-sqlvar ele vai deixar fazer sql injection.
E olha que ja vi muita gente a usar o dtml-var dentro de um sql method ou esquecer o type quando usa o dtml-sqlvar... :-) Por isso eu referi que é seguro mas apenas no caso do nosso codigo estar correcto. ;-) Abracos Hugo 2008/6/6 Fabiano Weimar dos Santos <[EMAIL PROTECTED]>: > Oi Hugo, > > na verdade, ele "deixa passar" escapeado (caso você tenha escrito seu > código adequadamente). > > Veja o email do Castardo, postado apos o meu... > > Att. > > Fabiano Weimar > > > 2008/6/6 Hugo Ramos <[EMAIL PROTECTED]>: >> Oi Xiru, >> >> A tua resposta tb nao foi muito clara... >> >> No caso de sql injections o Zope, na realidade, é TRANSPARENTE a SQL >> Injections. Ou seja... Se atras do Zope estiver um sistema de base de >> dados como, por exemplo, o MySQL e nao estivermos à espera destas sql >> injections entao o Zope deixa passar o codigo malicioso para o MySQL e >> este vai executar as ordens dadas na caixa de texto. >> >> CU >> Hugo >> >> 2008/6/6 Fabiano Weimar dos Santos <[EMAIL PROTECTED]>: >> >>> Olá Edgar, >>> >>> você não foi nem um pouco específico, mas em linhas gerais, o Zope é >>> imune a ataques de SQL Injection e ataques de XSS são possíveis apenas >>> em teoria. >>> >>> Eu reformularia a pergunta para algo mais específico... >>> >>> Att. >>> >>> Fabiano Weimar >>> >>> >>> 2008/6/6 Edgard Costa <[EMAIL PROTECTED]>: >>>> Amigos Zope >>>> >>>> Estive lendo sobre mal uso de determinados comandos inseridos em caixa >>>> de texto como forma de invasão ou tentativa de derrubada, isto >>>> relativo as pg escritas com outros scripts que não python. >>>> >>>> Existe este tipo de perigo no Zope/Plone?? >>>> >>>> Alguém já leu relatos parecidos? >>>> >>>> EdgardCosta >>>> >>>> >>> >>> >>> >>> -- >>> ================================== >>> Fabiano Weimar dos Santos (xiru) >>> Weimar Consultoria >>> >>> Hospedagem Plone, Django, Zope 3, Grok... >>> http://www.pytown.com >>> ================================== >>> >>> ------------------------------------ >>> >>> Para enviar uma mensagem: zope-pt@yahoogrupos.com.br >>> Para desistir envie uma mensagem em branco para: >>> [EMAIL PROTECTED] do Yahoo! Grupos >>> >>> >>> >> >> -- >> Hugo Ramos - IT Project Manager >> home -> http://www.hugoramos.eu/ >> tech -> http://otuggatech.blogspot.com/ >> [EMAIL PROTECTED] >> > > > > -- > ================================== > Fabiano Weimar dos Santos (xiru) > Weimar Consultoria > > Hospedagem Plone, Django, Zope 3, Grok... > http://www.pytown.com > ================================== > > ------------------------------------ > > Para enviar uma mensagem: zope-pt@yahoogrupos.com.br > Para desistir envie uma mensagem em branco para: [EMAIL PROTECTED] do Yahoo! > Grupos > > > -- Hugo Ramos - IT Project Manager home -> http://www.hugoramos.eu/ tech -> http://otuggatech.blogspot.com/ [EMAIL PROTECTED]
