Você tem certeza que seu formulário Web está protegido? Tem certeza que as validações garantem que os dados serão postados corretamente?

Muitos conhecem o conceito de SQL Infection, e existem padrões para se prevenir contra isso, mas muito cuidado com o Code Injection, ou Injeção de Código em Javascript através da URL do Navegador.

Com um simples comando javascript na barra de endereços do navegador é possível alterar o valor de qualquer objeto do seu site, e principalmente nos formulários.

Para mostrar como é simples manipular formulários via Javascript veja o exemplo abaixo:

Passo 1 - acesse o endereço: http://www.fabianodavid.com.br/teste/codeinjection.htm

Veja que o campo valor está como READONLY, ou seja, somente leitura.

Passo 2 – Agora na barra de endereços do nagevador digite: “javascript:document.form1.valor.readOnly=false;”

Pronto está liberado! Tente agora alterar o valor do campo Preço do formulário.

A partir de agora, cuidado com os formulários, principalmente Lojas virtuais que utilizam Frameworks de pagamento digital terceirizado, onde as quantidades, valores entre outras informações estão em campos ocultos (hidden), são facilmente manipulados.