Análise de vulnerabilidade do arquivo html/pet/informacao_pet.php

[joaopontes22]

Vulnerability Analysis
A vulnerabilidade presente no código é a falta de validação de entrada ao executar a consulta SQL na linha onde é feita a verificação das permissões do usuário:

$resultado = mysqli_query($conexao, "SELECT * FROM funcionario WHERE id_pessoa=$id_pessoa");

Essa consulta está sujeita a ataques de injeção SQL, pois o valor da variável $id_pessoa é inserido diretamente na consulta sem passar por nenhum tipo de sanitização ou validação. Um atacante pode manipular o valor de $id_pessoa para executar consultas maliciosas no banco de dados.

Para corrigir essa vulnerabilidade, é recomendado utilizar prepared statements ou funções de escape oferecidas pela extensão MySQLi para garantir que os valores inseridos na consulta sejam tratados de forma segura.

Além disso, também é importante adicionar tratamento de erros e exceções para lidar com possíveis falhas na execução da consulta SQL.

[angel-jgpv]

Resolvido by: Lenart
04/09/2024