SQL Injection

Andrey Knupp Vital · Maio 26, 2011

@Andrey Knupp

Não entendi o que aconteceu.

o adson, falou que o PDO evita erros ..

eu nem aspas usei, apenas finalizei uma query

e a tabela que eu tinha criado, foi se pro beleleu

André Severino · Maio 26, 2011

@Andrey Knupp

Não entendi o que aconteceu.

Ele deu um sql injection usando PDO, não é a ferramenta que é segura e sim quem cria que tem que deixar seguro, o que acontece se você utilizar um colete a prova de balas errado?

======================================================================================================

Ps: Desculpa não vi o post do Andrey

Adson aquino · Maio 26, 2011

Amigo do modo que você usou o prepare vai acontecer isso, agora usa ele assim.

     $id = "0;drop table `teste`";
     $query = $PDO->prepare( 'SELECT * FROM teste WHERE id = :id' );
     $query->bindParam(':id', $id, PDO::PARAM_STR);
     $query->execute();

Agora executa assim e vê se vai acontecer o mesmo.

Andrey Knupp Vital · Maio 26, 2011

Sim, realmente ..

Não tem o mesmo efeito, foi até uma boa dica, eu não via diferença antes

de PDO::query, pra PDO::prepare ..

o bindParam eu já sabia, mais achei que ele fosse apenas um 'replace'

pra as marcações na query, como :id, :nome ..

mais assim, parece que ele faz um handle da string ..

impedindo várias querys .. :P :) ^_^ ;) :joia: :clap:

Adson aquino · Maio 26, 2011

Então Deleu utiliza do modo que postei acima que não terá problemas.

Lord... · Maio 26, 2011

eu verifico se tal string é base64

Qual seria a melhor maneira para fazer essa verificação?

Guilherme Oderdenge · Maio 26, 2011

eu verifico se tal string é base64

Qual seria a melhor maneira para fazer essa verificação?

base64_decode($string)

Lord... · Maio 27, 2011

base64_decode($string)

Isso decodificaria não verificaria se a string está em base64 ou não...

Matheus Tavares · Maio 27, 2011

Isso decodificaria não verificaria se a string está em base64 ou não...

$string = base64_decode($string, TRUE);
if ($string !== FALSE) {
   echo $string;
} else {
   echo 'nao eh base64... deve ser base65 :-P';
}

Não é 100% à prova de falhas, mas facilita e muito. O segundo parâmetro do decode é para exigir STICT, retornando FALSE se não corresponder.

Minha opinião é: tudo isso é desnecessário (estou me referindo ao base64).

Arquivado

SQL Injection

Recommended Posts

Andrey Knupp Vital 136

Compartilhar este post

Link para o post

Compartilhar em outros sites

André Severino 3

Compartilhar este post

Link para o post

Compartilhar em outros sites

Adson aquino 2

Compartilhar este post

Link para o post

Compartilhar em outros sites

Andrey Knupp Vital 136

Compartilhar este post

Link para o post

Compartilhar em outros sites

Adson aquino 2

Compartilhar este post

Link para o post

Compartilhar em outros sites

Lord... 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

Guilherme Oderdenge 42

Compartilhar este post

Link para o post

Compartilhar em outros sites

Lord... 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

Matheus Tavares 167

Compartilhar este post

Link para o post

Compartilhar em outros sites

[Resolvido] JavaScript - Exibir logo dentro da Tabela html

Javascript - Calcular Valores Monetário em Tempo Real

PHP+Codeigniter - Implementar o Input CÓDIGO ou ID do Produto

Fóruns

Tempo Real

Informação importante