Anti SQL Injection

[Jair Humberto 2]

halfar, existem vários tipos de ataques possíveis. Esse que você falou ta mais com cara de um outro ataque que merece atenção: o PHP Injection. Se você usar PDO para conectar ao banco, a possibilidade de um SQL Injection pela sua aplicação reduz drasticamente.

 

Outro ataque que merece atenção é por javascript. se você digitar no Chrome ou Internet Explorer javascript : e um comando javascript, ou uma sequencia de comandos, eles serão executados tranquilamente. Portanto nunca confie em dados vindos de formulários.

 

Quanto à cookies, que vi a galera falando, nunca se esqueça que alterar um cookie para o seu site é a coisa mais fácil do mundo. Apenas digite no navegador javascript : document.cookies='cookiedoseusite=novovalor' e pronto, seu cookie já está alterado, fora as extensões que facilitam isso também. Portanto não confie em cookies também.

 

Não confie dados importantes ao lado cliente.

 

O resumo da opera é pesquisar, pesquisar e pesquisar. É muita coisa que precisamos nos informar.

[hinom 5]

#60 :seta: http://forum.imasters.com.br/topic/276729-segurana-em-php/

[Joao Felix_147210 4]

Não é mais simples usar statements com placeholders pra resolver este problema de sql injection?

[ryuunosuke 1]

//modo de usar pegando dados vindos do formulario
$nome = anti_injection($_POST["nome"]);
$senha = anti_injection($_POST["senha"]);
?>

Esses campos tem que os mesmo do fomulário? Então eu teria que colocar todos os do site aqui?

[ESerra 744]

Este tópico foi feito em outro contexto, a referida função NÃO deve ser usada hoje em dia, já que existem soluções muitos melhores, por exemplo prepared statements.

 

Vou fechar o tópico, assim evitando o incentivo ao uso da função original.