[ Mysql Injection ] Cadastro e Login PHP - MYSQL

[André Paulo 0]

Olá pessoas, tudo bem?

Tenho uma duvida cruel, to fazendo um sistema de login e cadastro de usuarios.

O usuario se cadastrara e logara utilizando seu nick name.

Meu medo é que um usuario cadastre um nick do tipo 'Sou'Zikaaa

Entenderão?

Quero uma função que não deixe acontecer o sql injection mais que também não atrapalhe depois por exemplo o usuario se cadastra utilizando aspas e depois aparece o nome sem aspas, ficaria estranho...

 

Podem me ajudar? Agradeço desde já! :)

[Gabriel Heming 766]

Utilize a biblioteca PDO com prepared statements. Será o suficiente para garantir proteção contra SQL Injection.

[André Paulo 0]

Cara obrigado, mais não sei nada de pdo o código ta em php estruturado :(

[Gabriel Heming 766]

Pode, então, utilizar MySQLi, que permite tanto código orientado a objetos como código estruturado.

O que você não pode fugir é de utilizar prepared statements, isso que lhe garantirá a proteção de SQL injection.

[André Paulo 0]

Pode me dar um exemplo de como faço isso?

Só um exemplo basico mesmo!

[Gabriel Heming 766]

http://php.net/manual/en/mysqli.prepare.php#refsect1-mysqli.prepare-examples

[André Paulo 0]

Valeu, mais uma pergunta porque usam este s $stmt->bind_param(>>>"s"<<<<, $city);

[Diego Rinno 35]

http://php.net/manual/pt_BR/mysqli-stmt.bind-param.php veja um pouco mais abaixo a listagem que explica os Caracteres de Especificação de Tipo.

 

 

No mais:

 

O Prepared Statements parece um monstro no início por causa das incontáveis linhas extras no código, mas é a solução perfeita para evitar SQL Injection. Estude um pouco no Manual do PHP e busque mais tutoriais pelo Google se precisar, o Gabriel te deu a dica perfeita. Vale a pena o cansaço mental para aprender uma nova forma de programar, quando isso vai te evitar um possível 'problemão' no futuro.

 

E se você quiser resolver seu problema com o usuário colocar uma aspa e na hora de retornar os dados do SQL voltar COM a aspa corretamente, pode utilizar o addslashes(); para escapar tua string antes de enviá-la ao SQL.

 

Se quiser evitar determinados Nomes de Usuário indesejados, crie uma blacklist e compare o nick enviado com o array da BlackList. Se o nick enviado contiver quaisquer registros da sua BlackList, avise ao usuário que o nick escolhido não é permitido e mande-o escolher um novo.

[Gabriel Heming 766]

Define o tipo de valor que será atribuído. "s" no caso define que será uma string.

 

http://php.net/manual/en/mysqli-stmt.bind-param.php#refsect1-mysqli-stmt.bind-param-parameters

[André Paulo 0]

http://php.net/manual/pt_BR/mysqli-stmt.bind-param.php veja um pouco mais abaixo a listagem que explica os Caracteres de Especificação de Tipo.

 

 

No mais:

 

O Prepared Statements parece um monstro no início por causa das incontáveis linhas extras no código, mas é a solução perfeita para evitar SQL Injection. Estude um pouco no Manual do PHP e busque mais tutoriais pelo Google se precisar, o Gabriel te deu a dica perfeita. Vale a pena o cansaço mental para aprender uma nova forma de programar, quando isso vai te evitar um possível 'problemão' no futuro.

 

E se você quiser resolver seu problema com o usuário colocar uma aspa e na hora de retornar os dados do SQL voltar COM a aspa corretamente, pode utilizar o addslashes(); para escapar tua string antes de enviá-la ao SQL.

 

Se quiser evitar determinados Nomes de Usuário indesejados, crie uma blacklist e compare o nick enviado com o array da BlackList. Se o nick enviado contiver quaisquer registros da sua BlackList, avise ao usuário que o nick escolhido não é permitido e mande-o escolher um novo.

 

Cara perfeito, beleza eu adciono o addslashes() mais ai na hora de pegar isso do banco de dados ele vai mostrar certo com as aspas e sem as barras ou preciso usar alguma função?

[Diego Rinno 35]

Bom ter perguntado, esqueci de falar antes, desculpa rs

 

A função stripslashes(); desfaz o efeito de addslashes();. É só usar a stripslashes quando for receber os dados do DB e pronto: a magia está feita!

[Gabriel Heming 766]

Não há necessidade em converter os dados com addslashes. Se utilizar prepared statements, os dados serão salvos e retornados corretamente.

[André Paulo 0]

Muuuuuuuuito obrigado Diego pela sua paciência e compreensão, tomara que a imasters contrate mais pessoas como você!!!!