Bom ainda na linha de melhoria da qualidade de dados mais um função para auxiliar. Dessa vez uma combinação da dobradinha CF + JAVA, onde temos a possibilidade de testar a existencia de um domínio sem auxilio do Whois ou registro.br.
Lembrando, essa funcionalidade é para testa se existe e não obter detalhes do mesmo, nesse caso não se tem muito para onde fugir e tem que se ver as informações do WhoIs ou registro.br.
Neste post resolvi disponibilizar algo para ajudar ainda mais as ações de segurança nas aplicações com relação ao ponto de entrada de dados. Dentro do CF, a combinação das tags CFQUERY e CFQUERYPARAM ajudam e muito a evitar ataques do tipo SQL Injection, porém elas sozinha minimizam a possibilidade e não neutralizam.
Para isso criei um conjunto de três funcções para detectar se no texto existe ou não intenções de injection. A utilização é bem simples, basta chamar a função hasAtack() antes de executar seu sql. O funcionamento é uma combinação da busca em cima dos scoopos CGI, Url, Form, Cookie e Arguments localizando palavras típicas de ação de injection. Recomendo colocar essa funcionalidade no seu Application.cfc ou cfm para poder chamade de qualquer página o teste.
Quando promovemos reutilização de código, passamos a fazer uso constante do cfinclude.
Com essa prática frequente, por vezes são criadas templates que necessitam de variáveis, pre-definidas a sua invocação, o que provoca erros na implementação.
texto.cfm<cfif IsDefined(”url.texto”)>
<h1><cfoutput>#url.texto#</cfoutput> </h1>
</cfif>
Comentários Recentes