Sanitização de códigos como mecanismo de prevenção contra SQL injection em bancos de dados.

PIRES, Nicolas Heldt Marçal

Use este identificador para citar ou linkar para este item: https://ric.cps.sp.gov.br/handle/123456789/39465

Título:	Sanitização de códigos como mecanismo de prevenção contra SQL injection em bancos de dados.
Título(s) alternativo(s):	Code sanitization as a mechanism to prevent SQL injection in databases.
Autor(es):	PIRES, Nicolas Heldt Marçal
Orientador(es):	OLIVEIRA, Wdson de
Outro(s) contribuidor(es):	TIOSSO, Fernando SANCHEZ, Arnaldo Napolitano
Tipo documental:	Artigo Científico
Palavras-chave:	Sql;Banco de dados;Banco de dados relacionais;Informação - segurança
Data do documento:	5-Jul-2025
Editor:	288
Referência Bibliográfica:	PIRES, Nicolas Heldt Marçal. Sanitização de códigos como mecanismo de prevenção contra SQL injection em bancos de dados. 2025. Trabalho de conclusão de curso (Curso Superior de Tecnologia em Segurança da Informação) – Faculdade de Tecnologia Prof. José Arana Varela, Araraquara, 2025.
Resumo:	Este artigo aborda a prevenção de ataques de SQL Injection (SQLi) em aplicações web, com foco na utilização das técnicas de sanitização de dados e parametrização de consultas. O objetivo principal foi demonstrar, por meio de análise, como essas estratégias podem ser aplicadas de forma eficaz no desenvolvimento seguro de aplicações PHP, especialmente em contextos que envolvem o uso de Prepared Statements (mysqli e PDO) e ORMs, como o Eloquent. A metodologia adotada foi qualitativa, com análise comparativa de exemplos de código seguro e vulnerável. Os resultados confirmam que, embora a sanitização seja essencial para garantir a integridade dos dados e prevenir erros de entrada, é a parametrização que oferece maior robustez na proteção contra SQLi, ao impedir que dados do usuário sejam interpretados como comandos SQL. Conclui-se que a combinação dessas técnicas representa uma defesa em profundidade eficaz e que sua aplicação deve ser acompanhada de boas práticas no desenvolvimento, como validação com listas de permissão e o uso consciente de funções que executam comandos SQL diretamente. This article addresses the prevention of SQL Injection (SQLi) attacks in web applications, focusing on the use of data sanitization and query parameterization techniques. The main goal was to demonstrate, through analysis, how these strategies can be effectively applied to the secure development of PHP applications, particularly using Prepared Statements (mysqli and PDO) and ORMs such as Eloquent. The methodology used was qualitative, based on a comparative analysis of secure and vulnerable code examples. The results confirm that, while data sanitization is essential to ensure data integrity and avoid input errors, parameterization offers the strongest protection against SQLi by preventing user input from being interpreted as executable SQL code. It is concluded that the combination of both techniques represents an effective defense-in-depth strategy, which must be supported by good development practices, such as whitelist validation and careful use of functions that execute raw SQL commands.
URI:	https://ric.cps.sp.gov.br/handle/123456789/39465
Aparece nas coleções:	Trabalhos de Conclusão de Curso

Arquivos associados a este item:

Arquivo	Descrição	Tamanho	Formato
segurancadainformacao_2025_01_nicolasheldtmarcalpires_sanitizacaodecodigoscomomecanismo.pdf Restricted Access		829.33 kB	Adobe PDF	Visualizar/Abrir Solictar uma cópia

Mostrar registro completo do item Recomendar este item Visualizar estatísticas