[Cascavel-pm] [Off-Topic] UPDATE

[Luciano Giordani Bassani]

O problema é exatamente este, Nilson...
Hoje em dia, eu sei qual é a forma correta, mas infelizmente eu aprendi
Perl sozinho da maneira errada, pois quando eu aprendi, não tinha
ninguém para dizer a maneira certa de fazer as coisas.
Nos últimos tempos, estou achando que nem sou mais programador Perl, que
na verdade sou apenas um bom "remendador" de código Perl.

A questão toda é que dou suporte e continuo o desenvolvimento de várias
aplicações CGI. Já pensei em refazer, pelo menos 1 dos projetos que eu
dou suporte, mas infelizmente não consegui convencer meu chefe. Não
adianta eu dizer para ele "eu gostaria de refazer nosso sistema, pois
aprendi uma forma mais correta de programar". Quando eu tentei isso, ele
queria saber em que isso melhoraria a aplicação: "Melhor performance?
Melhor tempo de desenvolvimento? E os procedimentos que ainda estão
faltando nos projetos, vão ser resolvidos ao mesmo tempo?"

Inclusive, para tentar encontrar um motivo válido para justificar
refazer algum dos projetos, foi que eu tentei fazer SQL Injection nos
meus códigos, mas não consegui. Se eu tivesse conseguido isso, eu
poderia pelo menos alegar que era para resolver falhas de segurança.

Resultado: não vai haver ganho "visual" para o cliente, por isso meu
chefe não aprovou. Ainda assim, resolvi que nos projetos novos vou
tentar colocar em prática o que eu tenho aprendido aqui, mas dai surgiu
outro problema: raramente aparecem projetos novos, pq nossos projetos
são muito grandes. Apareceu um novo agora, que é para migrar um ERP de
MS Access 97 para ambiente Web... Já estava cheio de planos, pensando
até em usar Fast::CGI, etc, quando meu chefe vetou Perl no projeto.
Motivo: ele não consegue encontrar mais programadores Perl que aceitem
ganhar "salário de fome" que ele paga. Ainda consegui salvar um pouco as
coisas, convencendo ele, de pelo menos usar PHP e PostgreSQL...


SDS,

Luciano


Nilson Santos Figueiredo Junior escreveu:
> On 7/24/07, Luciano Giordani Bassani <lgbassani em terra.com.br> wrote:
>>  Se lá no meu html, o usuário colocar no campo input something = "1' or
>> true" ou qualquer outro suposto SQL Injection, mesmo assim o Perl
>> interpreta
>> isso como variável. Eu já tentei várias combinações, e mesmo eu
>> conhecendo
>> meu banco de dados, minhas variáveis, nome de campos, a forma como o
>> programa foi construído, ainda assim não consegui um furo de
>> segurança com
>> SQL injection. No máximo, consegui um erro do tipo "500", ou seja, eu
>> acho
>> que isso do SQL Injection é mais mito do que verdade...
>
> Só porque você não conseguiu não quer dizer que os outros não vão
> conseguir. O perl não faz nada de especial para evitar SQL injection
> porque Perl é uma linguagem de propósito genérico.
>
> Bom, de qualquer forma, como você não quer aprender, não vale à pena
> perder o meu tempo te aconselhando. Se algum dia acontecer de um
> usuário malicioso trazer problemas ao seu sistema, certamente você irá
> se lembrar desse thread.
>
> -Nilson Santos F. Jr.
>
>