Boa tarde,
Ao executar a análise utilizando a imagem docker disponibilizada um aruqivo recebeu críticas de inject e gostaria de saber como deve ser feito o tratamento para evitar o risco de inject.
Se alguma pergunta ou resposta lhe foi útil, não deixe de dar seu voto positivo!
Boa tarde,
Ao executar a análise utilizando a imagem docker disponibilizada um aruqivo recebeu críticas de inject e gostaria de saber como deve ser feito o tratamento para evitar o risco de inject.
O Uso de Concatenação em Query não é aconselhado. Deve substiuir o BeginSQL por funções quer utilizem o conceito de prepare Statement. (Substituição de valores com ? )
https://tdn.totvs.com/display/public/framework/FWPreparedStatement
Ou
A ideia para evitar sql injection aqui é tratar a variável cCampo antes de coloca-la no BeginSql.
se possível, mude para receber um array com os campos que você precisa e depois monta a string passando um fwnoaccent em cada posição do array, com isso já diminui muito o risco de sql injection
um exemplo que pode acontecer no fonte acima: se mandar o conteúdo '(truncate SA1010)' na variável cCampo pode ser que o atacante consiga sumir com seu cadastro de clientes :-)
mais detalhes nesse ótimo artigo: https://www.devmedia.com.br/sql-injection/6102