Skip to content

Código mais robusto, e melhorias na proteção de SQL Injections #1026

New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom
Open
wants to merge 1 commit into
base: main
Choose a base branch
from
Open

Código mais robusto, e melhorias na proteção de SQL Injections #1026

wants to merge 1 commit into from

Conversation

luca-sena
Copy link
Collaborator

O código implementa uma API para gerenciar sessões de checkout e processar transações, integrando serviços como Stripe para pagamentos e Lob para envio de cartas. Ele valida e mescla variáveis de entrada, garantindo valores padrão para campos ausentes. Há verificações para garantir que templates de cartas existam antes de usá-los, e o conteúdo é renderizado dinamicamente com dados do usuário. O código utiliza um ORM para interagir com o banco de dados, registrando informações como transações e cartas. Ele também inclui tratamento de erros com mensagens específicas e oculta detalhes sensíveis em respostas. Apesar de funcional, melhorias podem ser feitas, como validação mais robusta de entradas, sanitização de dados, uso de HTTPS, organização modular do código e implementação de logs estruturados para rastreamento de erros.

@github-actions GitHub Actions
Copy link

Hello there, thanks for opening your first Pull Request. Someone will review it soon.

github-advanced-security[bot]
github-advanced-security bot found potential problems Apr 11, 2025
View reviewed changes
server/routes/api/checkout.js
if (typeof str !== 'string') return str; // Retorna o valor original se não for uma string

// Remove tags HTML
str = str.replace(/<[^>]*>?/gm, '');

Check failure

Code scanning / CodeQL

Incomplete multi-character sanitization High

This string may still contain
<script
Loading
, which may cause an HTML element injection vulnerability.
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Reviewers
No reviews
Assignees
No one assigned
Labels
new contributor
Projects
None yet
Milestone
No milestone
Development

Successfully merging this pull request may close these issues.
1 participant
@luca-sena