Boa tarde,
Ao executar a análise utilizando a imagem docker disponibilizada um aruqivo recebeu críticas de inject e gostaria de saber como deve ser feito o tratamento para evitar o risco de inject.
advpl-tlpp-code-analyzer - Conteúdo: Possível SQL Inject
- Você vai ver essas setas em qualquer página de pergunta. Com elas, você pode dizer se uma pergunta ou uma resposta foram relevantes ou não.
- Edite sua pergunta ou resposta caso queira alterar ou adicionar detalhes.
- Caso haja alguma dúvida sobre a pergunta, adicione um comentário. O espaço de respostas deve ser utilizado apenas para responder a pergunta.
- Se o autor da pergunta marcar uma resposta como solucionada, esta marca aparecerá.
- Clique aqui para mais detalhes sobre o funcionamento do TOTVS DevForum!
2 respostas
-
O Uso de Concatenação em Query não é aconselhado. Deve substiuir o BeginSQL por funções quer utilizem o conceito de prepare Statement. (Substituição de valores com ? )
https://tdn.totvs.com/display/public/framework/FWPreparedStatement
Ou
-
-
A ideia para evitar sql injection aqui é tratar a variável cCampo antes de coloca-la no BeginSql.
se possível, mude para receber um array com os campos que você precisa e depois monta a string passando um fwnoaccent em cada posição do array, com isso já diminui muito o risco de sql injection
um exemplo que pode acontecer no fonte acima: se mandar o conteúdo '(truncate SA1010)' na variável cCampo pode ser que o atacante consiga sumir com seu cadastro de clientes :-)
mais detalhes nesse ótimo artigo: https://www.devmedia.com.br/sql-injection/6102
-
