Um DBA bonzinho é um DBA desempregado!

Explico: O DBA (Database Administrator) é o responsável em última instância em garantir que os dados da empresa não se percam, não se corrompam e estejam sempre disponíveis. Você acha que consegue isso sendo bonzinho? Oh não… tudo (usuários, aplicações, chefes, desenvolvedores, a previsão do tempo, as eleições nos EUA, a bolsa de valores) conspira para que seus dados desapareçam, se estraguem ou que todo o servidor vá para o vinagre.

OBS: Quer ver um DBA feliz? Leia a documentação!!!

Quando eu era um garoto, meu pai me levava nas feiras de informática que ocorriam no Anhembi, ainda no final da década de 80. Eram meus primeiros contatos com a informática. Eu fazia meus primeiros programas em BASIC num CP400 e gravava tudo em fitas cassetes. Foi um alívio quando usei pela primeira vez um disquete no Apple IIe. Era algo realmente incrível. Então veio o primeiro PC com um incrível HD de 20MB. Fantástico. Depois veio um moderno 486 que tinha um disco de fantásticos 200MB. Logo foi trocado por um de 2GB, 6GB e quando pisquei o olho já usava um disco de 40GB. Hoje os dois discos SATA de 200GB não parecem muito grandes…

Mas voltemos para os tempos das feiras de informática, antes da FENASOFT surgir e depois sumir. Um dia vimos as primeiras memórias flash ainda como protótipo numa destas feiras… Meu pai olhou para aquilo e pensou: “Hum, sem partes móveis? Mais rápido e mais confiável… isso ainda vai aposentar os discos rígidos em menos de 10 anos”. Bom, naquele tempo eu já fazia o curso Técnico em Eletrônica e via as memórias EEPROM e UVPROM e também as “memórias CMOS”. Para um mercado que tinha saído das ROMs puras há pouco… tudo já parecia fantástico. Mas de fato as memórias FLASH foram chegando. Primeiro os disquetes foram saindo e sua morte foi enfim anunciada com os primeiro iMacs sem unidades de disquetes e com as novas portas USB! Os gravadores de CD também inundavam o mercados e padrões proprietários que melhoravam os disquetes como os ZIP Disks afundaram. Então vieram os pendrives, 128K, 512K, 1GB, 4GB e já temos os de 32GB. Em 2007 os notebooks entraram na dança e os primeiros HDs finalmente foram saindo de cena.

Até aí, ninguém decretou o fim dos HDs… os HDs continuam firme e forte. Os IDEs e SCSI deram lugar aos modenos SATA e SAS e vão evoluindo em capacidade e velocidade. Os HDs SATA de 10Krpm e os SAS de 15Krpm se tornaram comuns. Controladoras SATA com RAID 0, 1 e 10 já são comuns. Controladoras SAS com capacidade para dezenas de discos, baterias para o cache estão a pleno vapor. Sem contar com os Storages que são mais flexíveis usando interfaces iSCSI, Fibre Channel e InfiniBand e flexibilidade para usar discos Fibre Channel, SAS e até SATA. A indústria de discos rígidos continua a pleno vapor. Com a excessão dos notebooks, os desktops e servidores parecem estar com seu mercado garantido. Até quando?

É claro que os notebooks, subnotebooks, palms, mp3 e outros gadgets estão inundando um mercado que se acostuma com a ausência dos discos rígidos. Mas quando se fala em performance e confiabilidade, as memórias flash são em geral descartadas. Elas tem por tradição seram mais lentas e terem a mania de ir perdendo alguns bits com o tempo. Por outro lado, há uma demanda cada vez maior por performance. Quando eu escrevi o meu artigo sobre PostgreSQL, discos & cia eu fui pesquisando alguns dados para melhorar o artigo. Ao fazer uma busca por IOPS eu tive que fazer uma longa pausa na escrita do artigo. Algo mudou no ar. Não é uma coisa qualquer… isso é grande, é uma “mudança disruptiva”. Daqui para frente, após todo esse blábláblá, vou tentar explicar o que se passa nos bastidores.

Tratar grandes volumes de dados nem sempre foi a trarefa principal dos computadores. A IBM nasceu construindo máquinas que pudessem tratar grandes volumes de dados, mas estes não eram computadores, eram máquinas de tabular dados. O primeiro sucesso foi com o censo dos Estados Unidos em 1890 e depois em 1900. Nascia a época dourada dos cartões perfurados para o tratamento de grandes volumes de dados. Os primeiros computadores tratavam principalmente de cálculos complexos. Foi o surgimento dos discos magnéticos que propiciou o algo parecido com o que hoje chamamos de banco de dados. A primeira unidade de discos rígidos foi o IBM 305 RAMAC em 1956 com seus 5MB em uma unidade de disco rígido com quase uma tonelada e do tamanho de uma lavadora de roupas . Em 1965 já vemos o surgimento do CODASYL, a primeira tentativa de padronizar o acesso a dados, que mais tarde deu origem ao COBOL. A questão aqui é que discos rígidos e bancos de dados nasceram juntos e cresceram juntos. Não haveria como os bancos de dados crescerem se não houvesse um correspondente aumento de capacidade e velocidade dos discos. Os custo, é claro, também caiu muito.

Vejamos uma comparação entre o IBM 1311 lançado em 1961 e um disco SAS atual.

Enfim o que mudou? Discos menores, com maior densidade magnética, maior velocidade de rotação e menor custo. Claro que há muito mais que isso. Há interfaces como SATA, SAS, FC, InfiniBand, vários tipos de RAID, cache e uma infinidade de tecnologias destinadas a melhorar a performance, confiabilidade e preço dos discos. Mas, mesmo com enorme ganho nestas 3 áreas, em algum momento da história, os discos deixaram de acompanhar o rítimo de desenvolvimento dos processadores quanto ao desempenho. O custo dos storages em grandes bancos de dados é cada vez mais significativo no custo total do hardware. Enquanto se mensurava o custos dos discos em US$/GB, hoje se mede também em US$/IOPS. Ou seja, não se trata mais apenas de conseguir espaço em disco. Se trata também manter um volume de operações de leitura e gravação por segundo adequada as exigências do seu banco de dados.

Bom, para o mercado de Banco de Dados, as demandas parecem que cresceram mais que a tecnologia. Não são apenas as bases com mais de 10TB que assustam os DBAs. Em apenas um Rack de 19″ podemos ter 10TB com RAID e tudo o mais. Claro que não vai sair barato. Mas discos grandes não são tão caros. Um disco SAS de 1TB não custa muito. Mas e para se conseguir 10 mil IOPS? Sim, aí você terá problemas. Discos rápidos são caros. Você vai precisar de um RAID 10 muitos discos velozes para conseguir alguma coisa próxima a 10 mil IOPS. Os modernos storages atuais podem ter atingir mais de 200 mil IOPS. E mais, pode ser que você use estes discos apenas para guardar seus logs de transação do banco de dados. Parece um exageiro, mas em bases com fortes demandas OLTP isso não é nenhum absurdo. Não é a toa que discos de 36GB não saem do mercado, mesmo com os discos de 1TB disponíveis.

Hoje se fala de “unidades de estado sólido” ou Solid State Drives, ou ainda apenas SSD. Apesar de serem internamente completamente diferentes das unidades de discos rígidos, para o SO, se comportam de forma idêntica. Possuem sistemas de arquivos, partições e tudo o mais. De fato, a idéia é poder trocar um disco rígido por memórias de estado sólido de forma natural. O conector, a interface (SATA ou SAS) e as características lógicas são as mesmas. Isto realmente torna as coisas muito mais simples. Na verdade, uma disco de estado sólido pode ter inclusive o mesmo tamanho de um disco de 3.5″, se encaixando normalmente no lugar de um disco rígido. Vejam a foto abaixo. Trocar uma unidade de disco rígido e inserir um SSD não parece uma tarefa nada assustadora.

Bom, vamos com calma agora. Eu sei que tenho falado muito até agora, mas leia isso com atenção. Todos devem lembrar das diferenças entre a RAM e a ROM:

• Os dados na RAM são volateis enquanto os dados na ROM são persistentes;
• As memórias ROM podem ser do tipo ROM, PROM, EEPROM ou Flash
  • A ROM pura vem gravada de fábrica e nunca pode ter seu conteúdo gravado;
  • A PROM pode ser gravada uma única vez por um processo especial de queima de microfusíveis;
  • A EPROM ou UVPROM que podia ser apagada expondo o chip a luz ultra violeta e depois regravada;
  • A EEPROM que podia se apagada e regravada por meio de pulsos elétricos;
  • A Memória Flash que pode apagar apenas uma parte da sua memória e regrava-la. Ela pode ser do tipo NOR ou NAND. As memórias Flash também são chamadas de RAM não volátil ou NVRAM. Mas sua origem histórica vem do ramo das ROMs.
    • A Flash do tipo NOR veio a substituir as memórias PROM, EPROM e EEPROM;
    • A Flash do tipo NAND é adequada para leituras e gravações em bloco como em memórias de massa, AKA. discos. A Flash de tipo NAND são hoje de dois tipos:
      • A MLC pode armazenar mais de um bit por célula, possuindo um custo por bit mais baixo. A memória Flash MLC é a utilizada em pendrives e cartões de memória fartamente encontrados no mercado.
      • A SLC armazena apenas um bit por célula, tendo menor densidade e maior custo. Por outro lado ela é mais rápida e tem uma vida útil maior.
• As memórias RAM podem ser do tipo dinâmicas ou DRAM ou estáticas SRAM:
  • A SRAM utiliza uma estrutura de transistors conhecida como FLIP-FLOP para armazenar os dados, são mais caras e podem ser to tipo:
    • TTL que é a mais rápidas e a que consome mais energia. Utilizada sempre em buffers e caches;
    • CMOS que é lenta mas é a que menos consome energia quando está em repouso. Utilizada para armazenar os dados do setup, por exemplo;
  • A DRAM é mais barata e possui alta densidade, é utilizada nas memórias DDR;

Bom, isto só para ter um panorama simplificado das memórias utilizadas comercialmente hoje em dia. Siga os links acima para ter mais detalhes. Ocorre que na maioria das vezes em que estamos falando de SSD, estamos falando de dispositivos que utilizam memória Flash MLC. Estes são os discos com preços competitivos, feitos para competir com discos SATA. É para este camimnho que os notebooks topo de linha estão migrando massivamente e que devem aposentar os HDs rapidamente neste segmento. Mas há uma nova geração SSD feitos para competir no quesito desempenho.

Em agosto de 2007, uma empresa anunciou um dispositivo que pode ser conectado numa porta PCIe de 20GB/s. Com 2U e 504GB de memória este dispositivo alcança 3 milhões de IOPS. E não é só: taxas de transferência de 1400MB/s em leitura e 1000MB/s em gravação. Qual o milagre? Simples, não há discos nem flash… e sim a boa e velha memória SDRAM. Bom… é óbvio que esse pessoal não espera que a energia acabe. Mas de toda forma o Violin 1010 quando ligado num bom nobreak oferece um desempenho incrível com menor consumo de energia, baixo custo e sem exigir mudanças na sua aplicação. Veja os números você mesmo e imagine sua aplicação ficando 30 a 60 vezes mais rápida de uma hora para outra!

No final de setembro, a Fusion-IO lança uma placa PCIe 4x com 640GB utilizando memória flash NAND SLC e com um software novo capaz de diminuir as deficiências das memórias flash. A performance? 10 mil IOPS e 800 MB/s. Em novembro a BitMicro anuncia a venda de SSDs com memória flash NAND SLC de 1,6TB mas utilizando a interface Fibre Channel.Então em Janeiro de 2008, a Texas Memory Systems publica seus testes com o RAM-SAN 400. O RAM-SAN 400 vem de uma linhagem de storages que utilizam memórias DDR RAM para armazenar dados emulando discos rígidos. Neste sentido o RAM-SAM é parecido com a solução da BitMicro por se portar como um Storage, por outro lado é parecido com o Violin 1010 que utiliza RAM. A diferença é que o RAM-SAN tem 3 baterias internas e um HD internamente. Se a energia acabar, as baterias entram em ação e gravam todos os dados no HD. Outro detalhe é que o RAM-SAM já tem esta solução há algum tempo no mercado, sendo homologado pela IBM, Microsoft e SUN… e com a publicação dos seus testes no Storage Performance Council (SPC) que é para o storage o que o TPC é para os bancos de dados.

O RAM-SAN 400 é um storage com até 8 portas Fibre Channel e até 128GB de memória RAM. O os testes no SPC tiveram o seguinte resultado: mais de 291 mil IOPS ao custo total de 194785 US$ ou seja: US$0,67 US$/IOPS . Vamos comparar com outro teste recente no mesmo site? O teste da 3PAR InServ® T800 Storage Server alcança quase 225 mil IOPS ao custo de mais de 2 milhões de dólares ou 9,3 US$/IOPS. O resultado é um desempenho 13 vezes mais baixo. O milagre? Enquanto o RAM-SAM usa um storage de 3U e 128GM de memória SDRAM, o T800 usa 5 racks de 44U, e tem 77TB com 4 x 320 discos fibre channel de 146GB cada. Agora imagine a diferença de consumo de energia?

OK, o RAM-SAN é comprovadamente uma solução viável. Mas foi quando a EMC lançou também em janeiro de 2008 que o mercado entrou em polvorosa definitivamente. A solução é simples. Você pode utilizar o storage topo de linha da EMC o Symmetrix e escolher utilizar alguns SSDs no lugar de discos convencionais. Resultado? Um nome de peso como o da EMC com um storage de alto nível e o melhor dos dois mundos: espaço com discos SAS e velocidade com discos SSD. A EMC apostou em discos SSD com memórias FLASH NAND SLC, assim como a Fusion-IO e a BitMicro. A diferença é que você tem integrado ao SSD, agora chamado de “Enterprise Flash Drive” junto com um storage reconhecido no mercado. A entrada da EMC neste mercado pode ser comparado com a entrada da IBM no segmento de microcomputadores. Ok, talvez eu esteja exagerando um pouco, talvez não. O fato é que a EMC alega que seus SSDs tem 30 pelo menos vezes mais IOPS que os discos mais rápidos disponíveis e um ciclo de vida maior.

São notícias realmente animadoras. Os SSDs com memórias flash NAND SLC utilizam mecanismos mais sofisticados para minimizar a possibilidade de perda de dados. E não parou por aí… em junho a HP e Fusion-IO anunciam que vão adaptar os discos SSD da Fusion-IO para os sistemas Blade da HP. A Texas Memory Systens criou o RAM-SAN 440 com memórias DDR2 e mais velocidade e o RAM-SAN 500 utilizando agora memória flash NAND SLC também. E assim, todos estão correndo atrás da nova onda. Uma virada deste tipo pode dar a possibilidade para novas empresas crescerem e grandes empresas que venham a perder o bonda da história sumirem do mapa. Ainda é tudo muito incerto. Vejamos como está o mercado hoje:

• Alguns apostam em placas PCI para conectar diretamente as memórias. Faz sentido… para que eu preciso ser uma caríssima controladora quando eu posso me conectar diretamente ao barramento do sistema. Muita coisa nova pode surgir daí;
• Por outro lado, ter uma unidade onde eu possa retirar um disco e colocar um SSD na mesma baia parece algo muito interessante, tanto num desktop quanto num caríssimo storage;
• Os SSDs baseados em memórias Flash NAND MLC vão continuar substituindo os HDs SATA em notebooks, desktops e há quem já fale nestes brinquedinhos como o futuro dos CPDs verdes. Tudo o que sabemos é que o preço está caindo enquanto a capacidade, velocidade e confiabilidade vem aumentando rapidamene;
• Os SSDs baseados em memórias Flash NAND SLC são a opção mais confiável para conseguir dispositivos rápidos. É nesta direção que a maioria das pesquisas estão se concentrando. Conseguir 100 mil IOPS parece um bom ganho para muitos;
• As soluções SSD baseadas em DRAM são o que há de mais rápido no mercado. O RAM-SAN parece que está conquistando muitos adeptos com um custo atraente. O RAM-SAN 440 atingiu mais de 600 mil IOPS enquanto o Violin conseguiu mais de 3 milhão de IOPS. Enquanto no RAM-SAN você acaba tendo que confiar nas baterias redundantes do equipamento, no Violin, o abacaxi está inteiramente na sua mão. Performance sempre tem preço.

É cedo ainda, mas é real. Está acontecendo e quem está no limite do desempenho está convidado a experimentar as novas tecnologias SSD para o mercado de alto desempenho transacional. Eu gostaria muito de poder testar um brinquedinho destes. Seria interessante testar diferentes particionamentos utilizando SSDs de alto desempenho. Outro desafio seria rever a parte de tuning nos SGDBs. O otimizador de consultas está sempre privilegiando leituras sequenciais e atribuindo um custo diferente para operações de leitura/escrita sequencial/randômica. É claro que não dá para sonhar colocar todos os seus tablespaces num caro SSD de alto desempenho. O fato de colocar apenas os logs transacionais e tablespaces específicos vai exigir novamente mais habilidade dos DBAs para tirar todo proveito desta nova tecnologia. Particularmente eu já vejo os DBAs bem aparelhados com o PostgreSQL, uma vez que as estimativas de custos são parametrizadas. O que pode acontecer é ter que fazer ajustes específicos para operações que utilizam ou não tablespaces armazenadas em SSD. De qualquer forma, um futuro mais rápido surge no nosso horizonte.

Qual meu maior medo nisso tudo? Que os desenvolvedores continuem embarcando cegamente na onda dos ORMs e quando a performance gritar… fazer o que todo mau programador adora fazer: aumentar a performance do hardware ao invés de concertar a aplicação. A aplicação sentou o banco? Compra uns SSDs que rezolve….

Apesar dos meus incansáveis esforços, ainda não temos um “Dia do DBA”. Mas ao menos já temos quadrinhos! Não percam os quadrinhos sobre as aventuras de um DBA Oracle Jr. A dica veio do Sr. Robert Treat no Planet PostgreSQL.

Assim que a empresa começou a crescer veio a necessidade de trazer alguns computadores para a equipe administrativa. Os usuários estavam felizes com seus computadores novos fazendo seus textos, planílhas e coisa e tal. Mas vira e mexe alguém tinha uma dúvida de como fazer isso ou aquilo. A impressora não funcionava, apareciam vírus por todo lado e a os computadores travavam. Então vieram os pioneiros de TI fazendo suporte aos usuários finais.

A empresa começou a crescer mais computadores foram comprados. Mais gente queria acessar a Internet e o protocolo DPCDPL (Disquete Para Cá e Disquete Para Lá) começou a complicar a vida demais das pessoas. Então surgiram os primeiros servidores, com o primeiro firewall, o primeiro servidor de arquivos e impressão. Então eis que surge o sysadmin para botar órdem nisso tudo, inclusive no pessoal de suporte.

Um belo dia alguém teve a ideia de desenvolver um sistema para tocar algumas partes vitais da empresa e vieram os primeiros desenvolvedores para criar o sistema. Logo os sistemas se multiplicaram e surgiu um gestor para o setor de TI. Com o orçamento reforçado, decidiram implantar um ERP e os analistas começaram a brotar aos montes.

Não demorou muito para perceberem que as informações estavam desencontradas entre os sistemas e um dia aconteceu o pior: perderam um banco de dados. Surgiu finalmente o DBA para arrumar os bancos de dados e dar jeito nos backups e recuperar o que podia da catástrofe anunciada. Outros cargos apareceram, o gerente de projetos, o AD e por aí vai.

Acontece que o DBA vira e mexe tomava cerveja na sexta-feira com o sysadmin. Qual foi a surpresa do DBA ao descobrir que o sysadmin tinha um dia em sua homenagem… a última sexta-feira de julho. É claro que isso parece desculpa para juntar o povo para tomar cerveja, senão porque escolher a sexta como dia de comemoração? bom, meus caros… proponho que a 1ª sexta-feira de Agosto seja o dia do DBA. Sim, você pode convidar o sysadmin para beber também!

Então, o convite está feito: vamos comemorar o “Dia do DBA” amanhã, ok?

• A aplicação está acessível para toda internet que possui milhares de usuários dispostos a quebrar seu sistema;
• O uso de linguagens de script fracamente tipadas em conjunto com com tipos de dados fracamente tipados ajuda a abrir algumas brexas de segurança.
• O protocolo HTTP tem peculiaridades que quando mal utilizadas podem tornar uma aplicação web mais vulnerável como o uso de parâmetros GET.

O exemplo clássico é o login de um usuário da aplicação. Você pede o nome e senha do usuário numa tela e depois envia um SQL com esta característica:

SELECT TRUE WHERE nome = 'telles' AND senha = 'abizi'

Na tela de login o usuário pode digitar no lugar da senha algo mais ou menos assim:

USUÁRIO: admin
SENHA: ‘ OR 1=1 –

Ao substituir as variáveis o seu SQL ficaria assim:

SELECT TRUE WHERE nome = 'admin' AND senha = '' OR 1=1 --'

Segurança contra o SQL Injection

Regra no mínimo privilégio

Veja que há uma série de problemas a serem analisados aqui. A primeira questão que qualquer sistema deve se preocupar em analisar é saber qual o potencial de destruição que o usuário vai ter se ele conseguir um ataque bem sucedido. Se o usuário que se conecta na aplicação é dono de objetos no banco de dados, como muitas aplicações gostam de fazer por uma questão de comodidade, você verá que o seu usuário terá permissões plenas sobre os seus objetos. Utilizando SQL Injection, ele poderá realizar operações como DROP, TRUNCATE, ALTER além do DELETE, INSERT, UPDATE e SELECT.

Então a primeira regra que deve SEMPRE ser seguida a risca é que:

“O USUÁRIO QUE A APLICAÇÃO UTILIZA PARA SE CONECTAR NO BANCO DE DADOS JAMAIS DEVE SER O DONO DOS OBJETOS CRIADOS NO BANCO DE DADOS”

Alguns artigos que tratam sobre SQL Injection ignoram solenemente esta recomendação. Alguns ficam desempregados inesperadamente. Então, precauções especiais devem ser tomadas em aplicações onde cada usuário da aplicação não tem seu próprio usuário criado no banco de dados - o que é comum em aplicações web com milhares de usuários que surgem sem controle do DBA. Você deve ter pelo menos 4 usuários para cada aplicação com este perfil:

1. Um usuário que é dono dos objetos criados no banco de dados. Este usuário deve estar sob controle somente e tão somente do DBA, tanto no ambiente de testes como em produção. Lembre-se que este usuário tem poderes plenos sobre estes objetos do banco de dados.
2. Um usuário ou grupo de usuários destinado aos desenvolvedores com poderes específicos para as suas tarefas. Pode-se determinar que no ambiente de produção ele tenha permissão de SELECT em todas tabelas e sequências e no ambiente de produção tenha poderes de SELECT, INSERT, UPDATE e DELETE.
3. Um usuário ou grupo de usuários destinado aos administradores da aplicação, que terão poderes específicos na aplicação como deletar registros ou atualizar valores em tabelas. Este usuário deve se conectar a partir de outro executável que não o utilizado pelos usuários normais. A aplicação utilizada para fins administrativos deve ter acesso restrito ao acesso local por exemplo. Este usuário terá permissões de DELETE, UPDATE e INSERT em tabelas que um usuário normal não terá permissão. Portanto, este usuário jamais deve ser utilizado em operações de rotina.
4. Um usuário para os usuários normais da aplicação. Este usuário deve seguir a risca a regra no menor privilégio. Ele deve apenas as permissões para acessar os objetos estritamente necessários. Privilégios de UPDATE e DELETE devem ser concedidos com muita cautela. Operações deste tipo quando executadas sem uma clausula WHERE adequada podem ser desastrosas. É este usuário que será alvo de ataques de SQL Injection. Se você for rigoroso com as permissões para este usuário, limitará muito a dimensão dos estragos que podem acontecer no caso de um ataque bem sucedido.

Use criptografia, visões e funções

Feito isso, você já terá um ambiente muito mais seguro, com certeza. A próxima parte do nosso trabalho será realizar um tratamento dedicado às informações mais sensíveis do seu sistema. Identifique estes objetos com cuidado. Existem dados sigilosos que podem ser alvo de criptografia. Senhas jamais devem ser armazenados sem criptografia. Use uma função como MD5 para isso. Lembre-se que você não poderá saber qual é a senha armazenada no campo, apenas poderá verificar se uma senha é igual a que está armazenada. No entanto, se apenas um grupo específico precisa ter acesso a estas informações você deve restringir o acesso a elas. Quando você quer restringir o acesso a apenas uma coluna ou grupo de colunas de uma tabela a melhor alternativa é criar uma visão com apenas as colunas que o usuário vai precisar. De permissão ao usuário acessar esta visão não permita que ele leia a tabela diretamente.

Há casos em que a pessoa precisa alterar ou ler registros, mas você não quer que limitar a possibilidade de que o usuário altere todos os registros da tabela. Para isso, você pode criar funções que encapsulem toda a operação. Você passa para a função os parâmetros a serem alterados, a função checa a validade destes dados, faz todas as alterações em todas tabelas necessárias e retorna se realizou a operação com sucesso ou não, ou ainda retorna um valor desejado como se fosse um SELECT. O resultado disso é que você só precisa dar permissão ao usuário para executar a função e não precisa dar nenhum acesso a qualquer um dos objetos envolvidos na transação. Isto significa que o usuário só poderá realizar aquela transação especificada pela função, que se for bem codificada, evitará definitivamente qualquer chance de acesso indevido.

Procedimentos preparados

A terceira etapa é utilizar os procedimentos preparados ou “prepared statements’. Este procedimentos fazem com que você passe como parâmetros os valores a serem substituídos num comando SQL qualquer. As pessoas evitam utilizar este procedimento pois ele requer que você o execute em duas etapas: preparar o procedimento e executar o procedimento. Quando executado com freqüência, os procedimentos preparados não só são mais seguros, como também apresentam um ganho de performance.

Dollar Quoting

A quarta etapa que você pode utilizar é peculiar ao PostgreSQL, e chama-se “dollar quoting“. Ao invés colocar strings de caractere entre aspas simples em expressões SQL, você pode usar o $$ como em:

SELECT TRUE FROM users WHERE name = $$$$ AND senha = $$abizi$$;

Você ainda pode fazer coisas como:

SELECT TRUE FROM users WHERE name = $name$telles$name$ AND senha = $senha$abizi$senha$;

Note que você pode colocar suas strings entre $$, $nome$, $senha$ ou qualquer outra coisa, tendo somente que começar e terminar com a mesma marca. Usar este tipo de notação no código SQL pode parecer um tanto grotesco inicialmente, mas quando você for escrever funções, ela pode tornar a sua vida muito mais simples, pois você não terá situações bizarras como um grupo de várias aspas simples ou contra barras. Com o dollar quoting, você não precisa se preocupar com as aspas simples.

Checar o tipo de dados

A próxima barreira de defesa na luta contra a injeção de SQL é checar o tipo de dados utilizado. Um tipo comum de ataque é por exemplo injetar código em parâmetros GET do protocolo http. Se você espera um número, tenha certeza de que ele é um número antes de substituir a sua variável no seu código SQL. Uma forma eficiente de fazer isso é utilizar a função ‘printf’. Quase toda linguagem de programação possui um comando semelhante ao printf da linguagem C. A nossa string SQL utilizando printf ficaria alguma coisa assim:

SQL = printf('SELECT TRUE FROM users WHERE nome = %s AND senha = %s', nome, senha)

A questão aqui é que a função printf vai forçar o uso do tipo de dados correto na função SQL. Não é uma solução perfeita, mas pode evitar alguns problemas além de evitar a conversão implícita de tipos de dados, fonte de muitas dores de cabeça no banco de dados.

Escapar as strings

A barreira mais conhecida na proteção contra a injeção de SQL é o uso de funções que escapem as strings. Hoje a maioria das linguagens de programação possuem funções para escapar caracteres como aspas simples em strings. Veja que uma aspa simples pode fazer parte de uma string como em “database’s security”. Para que uma string deste tipo seja aceita, é preciso escrevê-la desta forma numa expressão SQL:

INSERT INTO titulo VALUES ('database''s security');

Note que existem duas aspas simples e não uma aspas dupla. Esta é a única forma de se adicionar aspas simples numa string em banco de dados. Você deve esperar que o seu usuário por qualquer motivo digite uma aspa simples em qualquer string. A não ser que você remova explicitamente as aspas simples da sua string antes de construir o seu comando SQL, você deverá sempre escapa-las. Se a sua linguagem de programação possuir uma função de escape de strings específica para o seu banco de dados, utilize-a no lugar de uma função genérica.

Conclusão

Os problemas de segurança em geral são criados por profissionais mal informados ou por desenvolvedores que acreditam que segurança é um fator supérfluo e que implementar todas as barreiras necessárias é muito trabalhoso. O descuido com a segurança chega num ponto onde muitos servidores web exibem suas mensagens de erro diretamente na tela do usuário, no ambiente de produção. O uso de técnicas de SQL Injection em ambiente que não implantaram todas as barreiras citadas e ainda oferecem de bandeja os erros da aplicação na tela é absolutamente devastador. O usuário consegue descobrir o nome de todas as tabelas e colunas da sua aplicação, alterar qualquer registro ou mesmo apagar todas as informações de todas tabelas. Não é incomum encontrarmos aplicações de grande porte com furos homéricos de segurança. Não é incomum sites famosos e grandes corporações sofrerem com o vazamento de informações, fraudes e perda de dados. O prejuízo é sempre maior do que o custo de implementar a segurança de forma correta na aplicação.

Quando pensar novamente em segurança, lembre-se que a tarefa é de todos. Os ataques de SQL injections são muito simples de executar, a pondo de criarem a expressão “Script kiddie” para designar pessoas com pouco conhecimento técnico que utilizam receitas simples e eficientes para invadir sistemas. Não adiante a rede, o servidor e o banco de dados adotarem condutas rigorosas de segurança se você lança mão de aplicações (desenvolvidas por você ou por terceiros) que não tomam este tipo de precaução.