Boa noite, time do Allura! Estou fazendo um curso de owasp e fiquei com uma dúvida na parte de validação, eu tenho um projeto que utiliza spring mvc e foi falado no curso que a validação tem que ser feita no cliente e no servidor, sei que no navegador dá para desabilitar javascript, porém com spring mvc não sei direito se tem como o navegador ser desabilitado a validação?
Att,
Fernando Hiar.
Olá, Fernando. Tudo bem?
A validação no cliente e no servidor, no caso, é garantir que a entrada que o usuário coloca seja sanitizada, ou seja, que caracteres especiais que tem um significado no SQL sejam escapados.
Você pode, no lado do cliente, passar o dado que o usuário mandou através do formulário para uma função, ou algo do tipo, que transforme os caracteres que tem um significado especial em texto puro. Você consegue fazer isso com expressões regulares e algumas linguagens/frameworks já possuem funções para fazer isso.
No lado do servidor, você pode garantir que o dado que você vai passar para o executor do SQL não seja concatenado em texto puro, usando declarações já preparadas. Em PHP, por exemplo:
// prepara a query
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)");
// cria as variáveis que serão a fonte dos valores passados para a query
$stmt->bind_param("sss", $firstname, $lastname, $email);
// preenche os valores e executa a query
$firstname = "John";
$lastname = "Doe";
$email = "john@example.com";
$stmt->execute();
Espero ter ajudado.