protecao

[prog10 0]

gostaria de ajuda em algumas duvidas

 

1 - boas estou usando uma função antisql no cadastro para evitar ataques e gostaria de saber se também é perigoso eu passar dados por get, post e sessions sem usar esta proteção ex: campo de busca no site eu posso receber o post normalmente e buscar na tabela ou é mais seguro utilizar a função antisql também ?

 

2 - qual melhor modo de se ler e listar as tabela? utilizar apenas uma pagina que leia todas as tabela e apenas dar include nas pagina que vão usar ou cada pagina eu faco a busca separada?

 

abraços

[hinom 5]

1. Sim, obviamente, todo dado recebido deve passar por filtragens de acordo com a finalidade de cada requisição.

Se um dado postado for usado para montar um query sql, faça tratamentos consistentes.

Apenas uma nota, esteja ciente de que muitos scripts anti-sql que encontram-se na web e até mesmo em livros, são equivocados.

Não há necessidade em remover palavras reservadas do SQL. Apenas evite os escapes e conjuntos de caracteres especiais que podem formar escapes.

Por fim, se quer mesmo se proteger, estude SQL, ao menos o básico e conseguirá enxergar melhor.

 

2. procure montar a estrutura sob algum padrão como o MVC, por exemplo, e não terá mais esse tipo de dúvida.