Publicado em 18 de jul.

[Resolvido] Função extract()

Boa noite pessoal!

Então, eu estava aqui trabalhandinho quando de repente me lembrei

de esclarecer uma dúvida com a comunidade.

A pergunta é: De alguma forma meu código fica vulnerável se eu usar essa função assim?

if ((isset($_POST["cadastro"])) && ($_POST["cadastro"] == "cadastro")) {

 extract($_POST);

 $sql = "INSERT INTO... ...'$var_extracted'";

Discussão (4)

Entre ou cadastre-se para participar da discussão

André D. Molin· 19 de jul.

Vai. Tu só precisa usar addslashes() e/ou mysql_real_escape_string() na string antes de colocar numa consulta.

Claudiobrother· 19 de jul.

André, então eu me defendendo de SQL Injection não há mais com o que me preocupar nesse caso?

Agradeço por sua atenção!

~TiuTalk~· 19 de jul.

Talvez o PHPIDS te ajude... Tem muito tutorial explicando como instalar ele :)

Claudiobrother· 20 de jul.

>
Talvez o PHPIDS te ajude...

Simplesmente show! Valeu mesmo. Muito obrigado!