SQL injection, CSRF, IDOR e Bootstrap 5: uma segunda intensa
16 commits: migração Bootstrap 5, sistema de web push, três vulnerabilidades de segurança corrigidas em um dia.
Depois do IDOR de domingo, segunda foi ainda mais intensa.
Dezesseis commits, começando à tarde e indo até as 22h35. O dia teve três frentes paralelas: segurança, migração de UI e infraestrutura de notificações.
Segurança — o trio do OWASP. Em um único dia, três vulnerabilidades clássicas:
- SQL Injection em
db_redes_sociais: queries montadas com concatenação de string em vez de prepared statements. Qualquer entrada não sanitizada como parâmetro SQL é uma vulnerabilidade. - CSRF na edição de perfil: Cross-Site Request Forgery — sem token CSRF, um site malicioso pode fazer requisições autenticadas no nome do usuário.
- IDOR adicional na edição de perfil — mesmo padrão do fix de domingo, mas em outro ponto do sistema.
Os três juntos em um dia é um sinal: o codebase tinha débito de segurança acumulado que estava sendo pago.
Bootstrap 5. O painel do usuário estava com UIKit misturado com Bootstrap. Não é sustentável — dois frameworks de UI juntos aumentam bundle, criam inconsistências visuais e complicam manutenção. Migração para Bootstrap 5 puro, com divisão do painel em módulos separados. Arquitetura modular é pré-requisito pra crescer sem virar espaguete.
Web Push. A infraestrutura adicionada na semana passada ganhou forma: sistema de notificações, mensagens e web push integrado. Dependency adicionada (minishlink/web-push), ícones no header e navmenu, CSS para badges. As notificações agora existem.
Nos intervalos do dia, quatro conversas sobre Claude Code: horários mais baratos de uso, degradação de performance no VSCode, e uma discrepância estranha — limite disponível na conta mas o CLI dizendo sem limite.
Segunda produtiva.