SóProvas

ID
1794406
Banca
FCC
Órgão
MPE-PB
Ano
2015
Provas
Disciplina
Banco de Dados
Assuntos

       Uma fonte de riscos à segurança vem de aplicações que criam consultas dinamicamente, com base em condições de seleção e atributos de ordenação especificadas em um formulário HTML na web. Por exemplo, uma aplicação pode permitir que um usuário especifique qual atributo deve ser usado para ordenar os resultados de uma consulta. Uma consulta SQL apropriada é construída com base no atributo especificado. Suponha que uma aplicação Java obtenha o nome do atributo de um formulário, na variável atributo Ordem, e crie uma string de consulta como a seguinte: 

                    String query = “Select * from takes order by " + atributoOrdem; 

Considerando a situação apresentada, é correto afirmar que um usuário malicioso pode

Alternativas
Comentários

  • Alguém poderia comentar esta questão?

    Também poderia comentar porque a letra A não está certa?

  • Não entendi foi nada...para mim a alternativa (d) é justamente a única errada. O programador pode muito bem restringir o que será enviado, via código. Ou não?

  • vejam a questão Q598134. Tem o mesmo comando, mesma banca, mesmo concurso, mesmo ano, alternativas DIFERENTES. Acho que esta questão foi inserida errada.

  • Pra mim a alternativa correta é a "A". A letra D parece contraditória ao dizer que pode qualquer comando mesmo que o html tente restringir. Se restringe, então é diferente de qualquer.

  • Resposta é a D mesmo....

    Esse enviado de Satanás retirou a questão do livro: Sistema de Banco de Dados - Por Abraham Silberschatz, Henry Korth, S. Sundarshan

     

    Quem for pobre e miserável igual a mim (sem condições de comprar livros, mesmo tendo uma boa grana no banco) pode grassar um pouco do conhecimento cuspido e escarrado em ipsis litteris nessa admirável plataforma do império do mal, ops.. entenda-se Google,

     

    https://books.google.com.br/books?id=1FBaDwAAQBAJ&pg=PT583&lpg=PT583&dq=enviar+uma+string+qualquer+no+lugar+de+um+valor+significativo+de+atributoOrdem,+mesmo+que+o+formul%C3%A1rio+HTML+usado+para+receber+a+entrada+tentasse+restringir+os+valores+permitido&source=bl&ots=erG9EcVlpY&sig=tqSgjys418NNVapnm18-NuAxWZo&hl=pt-BR&sa=X&ved=0ahUKEwjS9I6RuJXbAhXGEJAKHYJhB9QQ6AEIKjAA#v=onepage&q=enviar%20uma%20string%20qualquer%20no%20lugar%20de%20um%20valor%20significativo%20de%20atributoOrdem%2C%20mesmo%20que%20o%20formul%C3%A1rio%20HTML%20usado%20para%20receber%20a%20entrada%20tentasse%20restringir%20os%20valores%20permitido&f=false

     

  • Porque o examinador quis esta opção... simples