[Resolvido] Função extract()

Claudiobrother · Julho 18, 2009

Boa noite pessoal!

Então, eu estava aqui trabalhandinho quando de repente me lembrei

de esclarecer uma dúvida com a comunidade.

A pergunta é: De alguma forma meu código fica vulnerável se eu usar essa função assim?

if ((isset($_POST["cadastro"])) && ($_POST["cadastro"] == "cadastro")) {  

   extract($_POST);

   $sql = "INSERT INTO...  ...'$var_extracted'";

André D. Molin · Julho 19, 2009

Vai. Tu só precisa usar addslashes() e/ou mysql_real_escape_string() na string antes de colocar numa consulta.

Claudiobrother · Julho 19, 2009

André, então eu me defendendo de SQL Injection não há mais com o que me preocupar nesse caso?

Agradeço por sua atenção!

~TiuTalk~ · Julho 19, 2009

Talvez o PHPIDS te ajude... Tem muito tutorial explicando como instalar ele :)

Claudiobrother · Julho 20, 2009

Talvez o PHPIDS te ajude...

Simplesmente show! Valeu mesmo. Muito obrigado!

Recommended Posts