Olá a todos.
Os sistemas que já desenvolvi geralmente são utilizados em ambientes controláveis (utilizados sempre dentro da própria empresa em servidores próprios) então nunca tratei a questão da segurança neles, somente as validações necessárias para as regras de negócio.
No momento estou trabalhando em um que não utilizará este cenário.
Gostaria de saber o que o Scriptcase já faz por nós nos quesitos de segurança. Devemos tratar todos os inputs ou ele já faz isso?
Dei uma olhada inicialmente nestes vídeos: http://especializati.com.br/categoria/5/seguranca-web e teve coisa que passou sem tratamento algum.
Qual a experiência de vocês com relação a isso?
Grato pela atenção.
Eu me preocupo principalmente com os pacotes de terceiros que tem no SC, se realmente são mantidos atualizados.
Será bom tratar deste assunto aqui:
Assunto do tópico: Segurança contra invasões e outras ameaças
http://www.scriptcase.com.br/forum/index.php/topic,10137.0.html
Somente para constar temos a macro sc_sql_injection. Esta macro é usada para proteger o campo/variável contra “sql injection”.
http://www.scriptcase.com.br/docs/pt_br/v8/macros-scriptcase/macros-scriptcase#sc_sql_injection
No meu saber, com relação a segurança o SC é excelente! Estude a biblioteca PDO que ele usa, bem estruturada. A macro sc_sql_injection eu uso quando crio inputs em blank, ou seja, fora de form nativo do sc. As aplicações nativas com relação a segurança são muito boas. Já fiz de tudo pra burla a segurança mas não me deparei ainda com algum buraco.
Pessoal,
Também fiz vários testes na aplicação e ainda não encontrei uma brecha que possa ser utilizada para uma invasão.
A única coisa ruim que achei até agora são os arquivos gravados no TMP que além de não serem apagados corretamente, aparecem em buscas na Internet.
Eu sempre coloco um arquivo index.html com o atributo +i para não ser excluído desta pasta e pelo menos assim os arquivos não aparecem nos navegadores.
Seria muito bom que a própria aplicação removesse os arquivos depois do tempo programado na configuração. Isto não funciona.
Ou a Netmake nos dizer como fazer para isto funcionar, se não é um BUG.
[]'s
Bom já tive alguns problemas com aspa simples, ao dar erro no sql ele imprime a query na tela. Quando faço um sistema que muitos terão acesso e pode ter alguém tentando descobrir alguma brecha, trato todos os campos com str_replace das aspas simples ("’" por “’” ou “’” por “’’” dependendo do bd). E habilito captcha dependendo do caso.