SóProvas


ID
1794409
Banca
FCC
Órgão
MPE-PB
Ano
2015
Provas
Disciplina
Banco de Dados
Assuntos

       Uma fonte de riscos à segurança vem de aplicações que criam consultas dinamicamente, com base em condições de seleção e atributos de ordenação especificadas em um formulário HTML na web. Por exemplo, uma aplicação pode permitir que um usuário especifique qual atributo deve ser usado para ordenar os resultados de uma consulta. Uma consulta SQL apropriada é construída com base no atributo especificado. Suponha que uma aplicação Java obtenha o nome do atributo de um formulário, na variável atributo Ordem, e crie uma string de consulta como a seguinte: 

                    String query = “Select * from takes order by " + atributoOrdem; 

A situação apresentada acima pode se configurar em

Alternativas
Comentários
  • O caso é de uma brecha para SQL Injection. Para evitar este ataque, o campo deve ser validado para que aceite apenas valores permitidos, portanto: gabarito é a alternativa B

  • Letra B

     

    Questão retirada do livro: Sistema de Banco de Dados - Por Abraham Silberschatz, Henry Korth, S. Sundarshan

     

    https://books.google.com.br/books?id=1FBaDwAAQBAJ&pg=PT583&lpg=PT583&dq=enviar+uma+string+qualquer+no+lugar+de+um+valor+significativo+de+atributoOrdem,+mesmo+que+o+formul%C3%A1rio+HTML+usado+para+receber+a+entrada+tentasse+restringir+os+valores+permitido&source=bl&ots=erG9EcVlpY&sig=tqSgjys418NNVapnm18-NuAxWZo&hl=pt-BR&sa=X&ved=0ahUKEwjS9I6RuJXbAhXGEJAKHYJhB9QQ6AEIKjAA#v=onepage&q=enviar%20uma%20string%20qualquer%20no%20lugar%20de%20um%20valor%20significativo%20de%20atributoOrdem%2C%20mesmo%20que%20o%20formul%C3%A1rio%20HTML%20usado%20para%20receber%20a%20entrada%20tentasse%20restringir%20os%20valores%20permitido&f=false