xSmoking 6 Denunciar post Postado Janeiro 24, 2014 Estou utilizando esta função contra injeções de SQL e gostaria de saber se apenas isso realmente protege: function FilterText($str, $advanced = false) { if ($advanced == true) { return mysql_real_escape_string($str); } $str = mysql_real_escape_string(htmlspecialchars($str)); return $str; } E quais outros tipos de injeções estou vulnerável? Como poderia proteger? Compartilhar este post Link para o post Compartilhar em outros sites
Williams Duarte 431 Denunciar post Postado Janeiro 24, 2014 Uma solução e usar PDO, mysql_ esta obsoleto. Segue um slide com as principais vulnerabilidade http://odesenvolvedor.andafter.org/publicacoes/seguranca-com-php-slides-_1421.html Compartilhar este post Link para o post Compartilhar em outros sites
Jerri Dick 3 Denunciar post Postado Janeiro 24, 2014 Ou então Mysqli, ja tem um desempenho bem melhor que o mysql_, e não tem tanta alteração na sintaxe, pra quem está acostumado com mysql, não muda muita coisa, e tem mais recursos de segurança. Compartilhar este post Link para o post Compartilhar em outros sites
Leandro Lucas 3 Denunciar post Postado Janeiro 27, 2014 você pode tratar as variáveis também com addslashes, onde a cada aspas ele insere uma barra '/' Compartilhar este post Link para o post Compartilhar em outros sites
ScornInPC 1 Denunciar post Postado Janeiro 27, 2014 Concordo com o Jerri e o Williams também. Meu conselho é que você trabalhe com o PDO, pois a sintaxe é bem parecida entre o PDO e o Mysqli, porem o PDO trabalha com strings de conexão. Sendo assim, você vai trabalhar com qualquer banco de dados da mesma forma. Esta é a função do PDO, abstrair De qualquer forma, o próprio PHP tem uma pagina sobre estas APIs, só não está traduzido http://php.net/manual/en/mysqlinfo.api.choosing.php Espero ter ajudado Compartilhar este post Link para o post Compartilhar em outros sites