Segurança em aplicação Web: comparativo entre API MySQL e API PDO

Abstract

Este trabalho pretende demonstrar o quão pode ser vulnerável uma aplicação web, que emprega uma API (Application Programming Interface) desatualizada e depreciada, perante a vários tipos de ataques de injeção SQL (Structured Query Language). Para amenizar estes ataques injetados via barra de endereço do navegador ou via formulários HTML foi implementado uma API mais atualizada e parametrizada, chamada PDO (PHP Data Objects). Discorremos tecnicamente sobre a funcionalidade e a arquitetura exigidas de uma aplicação web, assim como analisamos acerca da linguagem PHP (PHP: Hypertext Preprocessor), banco de dados MySQL, ataques de injeção SQL e Segurança da Informação. Por fim, este trabalho apresenta um estudo de caso fundamentado em um servidor web local, que hospedou duas aplicações web (API MySQL e PDO), por meio das quais foi automatizado um teste de penetração, fazendo o uso de uma ferramenta de escaneamento de vulnerabilidade web Programa ZAP (Zed Attack Proxy), no intuito de verificar se as aplicações sofreram ou não ataques de injeção SQL