Solucionado (ver solução)
Solucionado
(ver solução)
3
respostas

Querys vulneraveis a SLQ Injection

Referente ao curso GraphQL Parte 1: Primeiros Passos

por Guilherme Stabach Salustiano
| 52.4k xp | 5 posts

Nas querys ao banco o conteudo enviado pelo usuario é diretamente inserido na query pura do banco Por exemplo na função:

// em client.js
buscaPorId(res, id) {
const sql = `SELECT * FROM Clientes WHERE id=${id}`

executaQuery(res, sql)

Podendo se fazer coisas como:

curl http://localhost:4000/clientes/cliente/1%20UNION%20(SELECT%20TABLE_NAME,%20TABLE_SCHEMA,%203%20FROM%20information_schema.tables)
3 respostas
por Matheus Henrique Castiglioni
| 5303.5k xp | 9004 posts
Instrutor Senior Software Engineer

Fala ai Guilherme, tudo bem? Obrigado pelo feedback.

Acho que o foco do curso era mais mostrar como o GraphQL funciona e como começar a utilizá-lo. Então foi algo que passou despercebido.

Caso você ou algum outro aluno que veja essa dúvida, temos diversos cursos sobre segurança:

  • https://cursos.alura.com.br/course/seguranca-web-em-java-parte-1
  • https://cursos.alura.com.br/course/seguranca-web-em-java-parte-2

Ambos são voltados para o Java, mas, o conceito basicamente é o mesmo para se usar em Node, PHP, C#, Python, etc...

Espero ter ajudado e obrigado pelo aviso (muito bem observado).

solução!
por Guilherme Stabach Salustiano
| 52.4k xp | 5 posts

Sim! Estendo completamente, mas ainda assim acho bom manter boas praticas de segurança sempre, embora possa soar um pouco repetitivo

por Matheus Henrique Castiglioni
| 5303.5k xp | 9004 posts
Instrutor Senior Software Engineer

Concordo contigo Guilherme, irei passar o feedback para o pessoal.

Abraços e bons estudos.

Quer mergulhar em tecnologia e aprendizagem?

Receba a newsletter que o nosso CEO escreve pessoalmente, com insights do mercado de trabalho, ciência e desenvolvimento de software