Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Análise de vulnerabilidade do arquivo controle/SituacaoControle.php #468

Closed
joaopontes22 opened this issue May 23, 2024 · 1 comment
Closed
Assignees
Labels
Security MN análise

Comments

@joaopontes22
Copy link
Contributor

Vulnerability Analysis
Vulnerabilidades encontradas:

  1. Não está sendo feita a validação e/ou sanitização dos dados recebidos via requisição ($_REQUEST) antes de utilizá-los no código. Isso pode dar margem a ataques de injeção de código.
  2. O código não está tratando a exceção da classe PDOException de forma adequada. O tratamento de exceções deve ser mais específico e informativo para facilitar a depuração e identificação de problemas.
  3. Na função listarTodos(), parece haver um erro de lógica ao atribuir o valor de $situacoes a $_SESSION['situacao']. Parece que deveria ser $situacaos.

Sugestões de correção:

  1. Para evitar vulnerabilidades de injeção de código, é recomendável utilizar funções de sanitização e validação dos dados recebidos, como por exemplo, filter_input ou filter_var.
  2. No tratamento de exceções, é importante fornecer mensagens mais claras e úteis para identificar a causa do problema. Além disso, é boa prática logar as exceções para facilitar o diagnóstico.
  3. Corrigir a atribuição correta na função listarTodos(): trocar $_SESSION['situacao'] = $situacoes; por $_SESSION['situacao'] = $situacaos; para evitar confusão de variáveis.

Essas correções ajudarão a tornar o código mais seguro e confiável.

@joaopontes22 joaopontes22 added the Security MN análise label May 23, 2024
@GabrielPintoSouza GabrielPintoSouza self-assigned this Jun 18, 2024
GabrielPintoSouza added a commit that referenced this issue Jun 18, 2024
@GabrielPintoSouza
Copy link
Collaborator

Feedback

  • O comentário foi útil? 5 = Muito útil
  • O erro foi fácil de localizar? 5 = Muito fácil
  • Foi possível corrigir? Sim
  • O quão fácil de corrigir? 5 = Muito Fácil

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Labels
Security MN análise
Projects
None yet
Development

No branches or pull requests

2 participants