Análise de vulnerabilidade do arquivo html/saude/exibir_enfermidade.php

[joaopontes22]

Vulnerability Analysis
O código apresentado possui uma vulnerabilidade de injeção de SQL. Como o código está utilizando a função query para executar uma consulta SQL diretamente na base de dados, não há nenhum tipo de validação dos dados inseridos nessa consulta. Isso abre espaço para possíveis ataques de injeção de SQL.

Para corrigir essa vulnerabilidade, é recomendado utilizar prepared statements, que ajudam a prevenir esse tipo de ataque. Abaixo segue um exemplo de como o código poderia ser modificado para utilizar prepared statements:

require_once '../../dao/Conexao.php';
$pdo = Conexao::connect();

$sql = 'SELECT * FROM saude_tabelacid';
$stmt = $pdo->prepare($sql);
$stmt->execute();

$resultado = array();
while ($row = $stmt->fetch()) {
    $resultado[] = array('id_CID' => $row['id_CID'], 'CID' => $row['CID'], 'descricao' => $row['descricao']);
}

echo json_encode($resultado);

Dessa forma, ao utilizar prepared statements, os dados são tratados de forma segura, impedindo a execução de comandos SQL maliciosos.