[Cascavel-pm] RE:_[Cascavel-pm]_usar_md5_para_validar_entradas_de_um_formulário
Luis Campos de Carvalho
lechamps em terra.com.br
Quarta Junho 11 09:38:58 CDT 2003
> A filtragem de dados eu já recebo. A questão é
> garantir que um usuário copie localmente o formulário
> gerado pelo CGI, altere-o quanto aos valores padrões.
> Por exemplo, um usuário poderia alterar o valor de um
> produto de um site que faça vendas pela Internet.
>
> O md5 seria usado para calcular um hash dos valores
> criados pelo CGI, e esse hash seria enviado como
> "hidden". Quando o CGI receber esses valores, ele
> recalcula o hash e compara com o recebido.
>
Alceu, exceto no caso de você estar programando alguma coisa
supersegura para a NASA (ou coisa que o valha), acho que isso é um exagero.
Tenho certeza de que você pode fazer o truque usando uma "tabela de
equivalências", de onde você possa pegar os dados "sensíveis" que
navegam pela web. Assim, supondo que você esteja vendendo vinhos:
Envie as informações que o usuário precisa para comprar um vinho,
retiradas de sua base de dados: a) Código do Produto; b) Preço; c)
Fabricante; d) Safra; e) Tipo do vinho;
O usuário vai enviar de volta uma lista de produtos escolhidos, de
onde você vai puxar duas informações:
a) Código do produto; (Taint-check contra sua base de dados)
b) Quantidade desejada; (Taint-check contra m/^\d{1,5}$/o )
Em seguida, envie novamente uma página para o carinha, contendo
novamente todas as informações necessárias para a compra, inclusive o
preço total do pedido, e peça a confirmação / cartão de crédito /
cadastro do cliente.
Em suma: o cliente sempre enxerga as informações do pedido que ele
está manipulando, mas nunca influencia nos dados diretamente. Ele pode
dizer qual, mas temos separadamente todos os dados do produto (fora do
alcance). O cliente pode dizer quantos, mas sempre temos limites (e
vamos tentar completar transações grandes por meios mais confiáveis do
que a web).
Espero que isso ajude você a pensar sobre o assunto.
Somas MD5 são muito interessantes como aprendizado, e certamente têm
muitas aplicações interessantes. Infelizmente, eu não vejo muita
utilidade para MD5 em websites que implementam B2C.
Sinta-se à vontade para perguntar tudo o que você quiser saber, tá?
Ah! Talvez o Hulot (que está quietinho e não se apresentou para a
lista ainda) tenha alguma coisa interessante para dizer sobre isso... o
pessoal da lista gostaria de saber o que você pensa, Hulot... por favor
escreva alguma coisa para a gente... =-]
[]'z!
--
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Luis Campos de Carvalho
Computer Scientist,
Unix Sys Admin & Certified Oracle DBA
http://br.geocities.com/monsieur_champs/
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Mais detalhes sobre a lista de discussão Cascavel-pm