GET no SQL | HTTP: Entendendo a web por baixo dos panos

Solucionado (ver solução)

Solucionado
(ver solução)

2
respostas

por Guilherme Golfetto

| 280.3k xp | 25 posts

Desenvolvedor Web

Notei em algumas lojas online que a busca de produtos é feita pela URL usando GET e que essas informações são buscadas em uma base de dados.

exemplo:

www.lojagenerica.com.br/produtos/busca.php?page-size=10&price=DESC

notei que eu consigo alterar na URL o page-size para o valor que eu quiser e o site retorna a quantidade de itens exibidos na pagina.

queria saber se esse é um erro do desenvolvedor do sistema deixar essas informações abertas para o usuário, eu imagino que alguém mal intencionado pode até droppar esses dados usando SQL Injection. estou certo?

2 respostas

por Felipe Faé Schwade

| 523.7k xp | 53 posts

Assessor de Projetos

11/05/2016

Provavelmente não seja um erro, usar pesquisa de produtos com a query na URL é algo bem normal em sites, várias lojas e até o Google use esse método, quanto ao risco de Injection, depende do que foi colocado no backend, mas quando for utilizar parametros de Query na URL, é necessário utilizar uma função que irá impedir o uso de ' ', como a addslashes() por exemplo.

solução!

por Nico Steppat

| 966.9k xp | 1744 posts

Instrutor Instrutor e Desenvolvedor da Alura

11/05/2016

OI Guilherme,

se é possível usar SQL Injection, ou não, depende como a busca foi implementada. No lado do servidor é preciso validar os dois parâmetros para garantir que nada alem será executado, ok?

abs