Usamos cookies para medir audiência e melhorar sua experiência. Você pode aceitar ou recusar a qualquer momento. Veja sobre o iMasters.
Olá... estou desenvolvendo um pequeno sistema e recentemente ouvi falar de Sql Injection. Não sei exatamente como funciona. Mas queria saber se estou abrindo oportunidade para que isso aconteça. Pelo que entendi de SQL Injection, alguma pessoa que tenha acesso ao site, pode entrar na edição html da pagina, e alterar a codificação podendo alterar os resultados SQL.
No meu caso, tenho um script pra fazer um filtro de uma busca SQL e passo alguns parâmetros para efetuar a busca. Segue um dos meus códigos.
$.ajax({
url: raiz+"include/autocomplete.php",
dataType: "json",
data: {
tabela: "grupos",
criterio1: "grupo=",
valor1: "produto tipo",
criterio2: "and descricao like",
valor2: $("#tipo").val(),
label: "descricao"
},
success: function(data) {
response(data);
}
});Um pouco de humor ...
>
1 hora atrás, Motta disse:
Um pouco de humor ...
https://forum.imasters.com.br/topic/497614-sql-injection/
Ah... o pequeno bobby tables... kkk
>
Em 14/04/2017 at 18:26, RodriAndreotti disse:
Cara... não exponha suas consultas desta forma... você deve ocultar sua tecnologia ao máximo do usuário final.
Mas vamos lá... tentarei te ajudar a proteger um pouco seu sistema.
1º - Evite passar nomes de campos e/ou querys sql de forma visível, passe do html para o PHP somente os valores que estes campos irão receber (mesmo em buscas) - do jeito que seu código está eu poderia simplesmente fazer isso:
$("#tipo").val() + "' UNION ALL SELECT * FROM USER --"
Pois sei que você está concatenando sua consulta com com estas informações sem filtra-las.
2º - Sempre filtre seus posts ou gets do lado do PHP com filter_input, ou faça uma validação ou uma sanitização do mesmo, dá uma olhada na documentação do filter_input no site do php.
3º - User prepared statement, assim sua consulta será enviada para o banco de dados antes das variáveis que ela recebe, então se receber algo malicioso nas variáveis que passou pela sua filtragem do PHP o máximo que vai ocorrer é um erro, mas não irá expor nada do seu sistema.
Espero ter ajudado de alguma forma.
Abs.
Obrigado pela ajuda amigo... Vou continuar pesquisando sobre métodos para ter mais segurança no meu desenvolvimento!>
22 horas atrás, Cesar Melo disse:
Obrigado pela ajuda amigo... Vou continuar pesquisando sobre métodos para ter mais segurança no meu desenvolvimento!
Imagina, estamos aqui para tentar ajudar também!
E, pessoalmente, fico feliz que você se interesse em desenvolver uma solução segura, coisa que muito "programador" não dá muita importância.
Abraços, e boa sorte em seus estudos, e lembre-se, o manual do PHP é seu melhor amigo nestes casos ;-)
>
4 horas atrás, Cesar Melo disse:
Olá... estou desenvolvendo um pequeno sistema e recentemente ouvi falar de Sql Injection. Não sei exatamente como funciona. Mas queria saber se estou abrindo oportunidade para que isso aconteça. Pelo que entendi de SQL Injection, alguma pessoa que tenha acesso ao site, pode entrar na edição html da pagina, e alterar a codificação podendo alterar os resultados SQL.
No meu caso, tenho um script pra fazer um filtro de uma busca SQL e passo alguns parâmetros para efetuar a busca. Segue um dos meus códigos.
$.ajax({
url: raiz+"include/autocomplete.php",
dataType: "json",
data: {
tabela: "grupos",
criterio1: "grupo=",
valor1: "produto tipo",
criterio2: "and descricao like",
valor2: $("#tipo").val(),
label: "descricao"
},