Jump to content

Search the Community

Showing results for tags 'injection'.



More search options

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Q&A Desenvolvimento
    • Perguntas e respostas rápidas
  • Desenvolvimento e Banco de Dados
    • HTML e CSS
    • Java
    • Javascript
    • .NET
    • PHP
    • Python
    • Ruby
    • Mobile
    • Ambientes de Desenvolvimento
    • Arquitetura e Métodos Ágeis
    • Banco de Dados
    • DevOps
    • Desenvolvimento de Games
    • E-Commerce e Pagamentos Online
    • SEO e Otimizações
    • WordPress
    • Algoritmos & Outras Tecnologias
  • Design e Produto
    • Fotografia
    • Photoshop
    • Design de interfaces e UX
    • Edição/Produção de Vídeos
    • Marketing Online
    • Desenho, Ilustração e 3D
  • Entretenimento e uso pessoal
    • Geral
    • Segurança & Malwares
    • Gadgets e wearable
    • Softwares e Apps
    • Entretenimento

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


Google+


Hangouts


Skype


Twitter


deviantART


Github


Flickr


LinkedIn


Pinterest


Facebook


Site Pessoal


Localização


Interesses

Found 5 results

  1. caioaurelio

    Injection no PDO é realmente impossivel?

    Fala galera. Gostaria de saber se de fato é impossível fazer SQL injection no PDO quando está sendo utilizando prepare(), acham necessário fazer o escape de dados com addslashes() ou htmlentities() como um adicional de segurança? Desenvolvi uma aplicação utilizando PDO dessa forma mas fico em dúvida se somente ele já impediria. Agradeço a ajuda!
  2. AnthraxisBR

    Validação minunciosa PHP

    Bom dia, Estou usando a classe GUMP para fazer validações server-side nos campos de formulários, depois de algumas extensões ela faz tudo que eu preciso praticamente, porém, a limpeza natural da classe, permite passagem de comandos, então acrescentei o seguinte método a classe: <?php protected function block_mysql_keywords($field, $input, $param = null) { if (!isset($input[$field]) || empty($input[$field])) { return; } $bloqued_tags = 'break,checkpoint,commit,dbcc,deny,opendata-source,openquery,shutdown,while,xp_,openrowset,char,nchar,varchar,nvarchar,alter,begin,cast,create,cursor,declare,delete,drop,end,exec,execute,fetch,insert,kill,open,select,sys,sysobjects,syscolumns,table,update'; $tags = explode(',', $bloqued_tags); $error = 0; foreach ($tags as $row) { if (preg_match('/' . $row . '/i', $input[$field])) { $error += 1; } else { // } } if($error > 0){ return array( 'field' => $field, 'value' => $input[$field], 'rule' => __FUNCTION__, 'param' => $param, ); } } Tudo o que eu pude testar de comando não chega mais nas conexões com o banco de dados. A dúvida é se isso está bom e se alguém tem alguma dica pra melhorar essa validação contra sql injection ? PS: Essa é validação principalmente para o login, nessa parte os dados já passaram pela sanitize da classe, validação de caracteres especiais e remoção de tags html e urls contra XSS. Valeu
  3. Cesar Melo

    SQL Injection

    Olá... estou desenvolvendo um pequeno sistema e recentemente ouvi falar de Sql Injection. Não sei exatamente como funciona. Mas queria saber se estou abrindo oportunidade para que isso aconteça. Pelo que entendi de SQL Injection, alguma pessoa que tenha acesso ao site, pode entrar na edição html da pagina, e alterar a codificação podendo alterar os resultados SQL. No meu caso, tenho um script pra fazer um filtro de uma busca SQL e passo alguns parâmetros para efetuar a busca. Segue um dos meus códigos. $.ajax({ url: raiz+"include/autocomplete.php", dataType: "json", data: { tabela: "grupos", criterio1: "grupo=", valor1: "produto tipo", criterio2: "and descricao like", valor2: $("#tipo").val(), label: "descricao" }, success: function(data) { response(data); } });
  4. Helmesvs

    Segurança - Sql injection

    Tava olhando como me proteger desse sql injection e achei aqui mesmo no forum essa função: <?php function anti_injection($sql) { // remove palavras que contenham sintaxe sql $sql = preg_replace(sql_regcase("/(from|select|insert|delete|where|drop table|show tables|#|\*|--|\\\\)/"),"",$sql); $sql = trim($sql);//limpa espaços vazio $sql = strip_tags($sql);//tira tags html e php $sql = addslashes($sql);//Adiciona barras invertidas a uma string return $sql; } Mas não me contentei e continue pesquisando e me veio a duvida. 1.: Qual é mais eficiente, o mysql_real_escape_string() ou o addslashes()? Também li que é possivel burlar o addslashes() com um conjuntos de caracteres de vários bytes ( ' → 0 0 1 0 0 1 1 1). 2.: Então o que eu poderia adcionar a essa função para ela ser quase totalmente segura?
  5. Revisando alguns códigos sobre segurança e prepared statements, percebi algumas diferenças e fiquei em dúvida sobre o SELECT. O código abaixo do jeito que está, com $mysqli->query($sql); torna seguro o SELECT ou é necessário fazer todo o processo de prepare, bind_param, execute, bind_result? O query() por si só já representa um prepared statement? $sql = "SELECT id FROM membros WHERE email='$e' AND password='$pass' LIMIT 1"; $numrows = $mysqli->query($sql); if($numrows->num_rows == 0){ ... } else { if($numrows->num_rows > 0){ while($result_row = $numrows->fetch_assoc()){ $id = $result_row['id']; echo $id; } }
×

Important Information

Ao usar o fórum, você concorda com nossos Terms of Use.