Video: Curso Online-Segurança no Desenvolvimento de Software-Parte VII-Criando Stored Procedures dinâmicas seguras e como criar Sql seguro

Título: Curso Online-Segurança no Desenvolvimento de Software-Parte VII-Criando Stored Procedures dinâmicas seguras e como criar Sql seguro

Tempo: 19:28 min

Mini Resumo: Nos dias de hoje, a segurança é tão importante quanto o sistema de negócio dentro do software. Em alguns casos, até mais importante. Bom, como falei na aula anterior, vou mostrar com esse vídeo, como fazer uma stored procedure ou um select dinâmico, corretamente e sem perigo de problema com sql injector, de alguém invadir a sua página, sistema ou colocar tags a mais no banco de dados que executam coisas não previstas. Essa falta de segurança em buscar os dados é comum hoje em dia para quem desenvolve; portanto, existe uma maneira fácil, básica e rápida de como evitar esse tipo de problema e invasão no software construído. Para mim, querendo ou não é uma segurança no desenvolvimento de software e informação, não se atentar para esse tipo de coisa. O primeiro passo que mostro, é utilizar o SQL Server 2008, mas também pode ser feito em qualquer outro tipo de ferramenta, com versão mais antiga. Conecto na minha máquina local com a ferramenta e utilizo o mesmo banco de dados utilizado e mostrado em aulas passadas deste mesmo curso. Nesse banco de dados existe apenas uma tabela chamada tb_usuario e não possui stored procedure para esse banco ainda. Existem quatro colunas na tabela usuário mostrada no vídeo com bastante clareza. Depois foi feito um select no banco de dados mostrando todos os dados existentes na tabela, e no passo seguinte mostrei como gerar a primeira stored procedure que busca dados de forma dinâmica; com as opções de passar nenhum parâmetro, um parâmetro, dois parâmetros ou três parâmetros. Toda explicação foi dada e mostrada junto a stored procedure e no passo posterior mostrei como não fazer dentro de uma SP, em seguida, foi diretamente para o código fonte de um programa que, mostro como criar um select na tabela de uma forma errada, sujeito a invasão e da forma certa, ou seja, sem perigo de invasão.

Metodologia de desenvolvimento do exemplo: Nesta vídeo-aula, nenhuma metodologia em específico foi usada, porém os exemplos foram mostrados sendo feitos passo a passo. O exemplo pode ser utilizado no seu dia a dia como instrução de segurança de dados, principalmente com a construção correta de códigos PLSQL.

Tecnologias utilizadas: Ferramenta Visual Studio.NET Team System 2008, Linguagem C#.NET, SQL Server 2008.

Exemplos construídos: O exemplo construído no vídeo foi mostrando passo a passo como criar de uma melhor forma Stored Procedures dinâmicas seguras e inseguras e de forma simples, foi mostrado também como criar Select de forma segura e insegura. Todo exemplo mostrado foi passo a passo.

Palavras chaves: .NET 3.5, ASP.NET, C#.NET, SQL Server 2008.