Solucionado (ver solução)
Solucionado
(ver solução)
2
respostas

GET no SQL

Notei em algumas lojas online que a busca de produtos é feita pela URL usando GET e que essas informações são buscadas em uma base de dados.

exemplo:

www.lojagenerica.com.br/produtos/busca.php?page-size=10&price=DESC

notei que eu consigo alterar na URL o page-size para o valor que eu quiser e o site retorna a quantidade de itens exibidos na pagina.

queria saber se esse é um erro do desenvolvedor do sistema deixar essas informações abertas para o usuário, eu imagino que alguém mal intencionado pode até droppar esses dados usando SQL Injection. estou certo?

2 respostas

Provavelmente não seja um erro, usar pesquisa de produtos com a query na URL é algo bem normal em sites, várias lojas e até o Google use esse método, quanto ao risco de Injection, depende do que foi colocado no backend, mas quando for utilizar parametros de Query na URL, é necessário utilizar uma função que irá impedir o uso de ' ', como a addslashes() por exemplo.

solução!

OI Guilherme,

se é possível usar SQL Injection, ou não, depende como a busca foi implementada. No lado do servidor é preciso validar os dois parâmetros para garantir que nada alem será executado, ok?

abs