Publicado em 12 de set.

Conexão segura evitando SQL Injection?

Oi Pessoal.

Qual a melhor forma de fazer conexão ao Banco de Dados no PHP evitando ataques SQL injection, sei que apenas usando str_replace nos apóstrofes não funciona muito bem.

Qual a melhor forma de fechar todas as brechas de segurança?

Grato.
Fábio!

Discussão (6)

Entre ou cadastre-se para participar da discussão

Entrar Criar conta

ESerra· 12 de set.

Eu recomendo a leitura desse tópico:

http://stackoverflow.com/questions/134099/are-pdo-prepared-statements-sufficient-to-prevent-sql-injection

Ele é o mais completo que achei sobre esse assunto.

Fábio BN· 12 de set.

Eu achei uns vídeos no Youtube ensinando.

Vou encerrar este tópico!

gabrielfalieri· 12 de set.

Poderia compartilhar?

Eu achei uns vídeos no Youtube ensinando.

Vou encerrar este tópico!

Pellegrini2106· 12 de set.

Use Conexão com PDO e a forma mais segura contra o SQL_Inject!!!

Fábio BN· 12 de set.

E para verificar e evitar erros de apóstrofe, é melhor usar qual?

Essa?

$url = str_replace("'","'",$_POST['var']);
ou essa?

foreach($_GET as $indice => $value) {
$_GET[$indice] = addslashes($_GET[$indice]);
}

Eu costumo usar a primeira opção.

Abraços!

Beraldo· 12 de set.

A melhor forma de filtrar os parâmetros é deixando o SGBD fazer isso pra você. Use Prepared Statements, que cada SGBD vai filtrar da forma adequada a ele.

Veja: http://rberaldo.com.br/pdo-mysql/