Conexão segura evitando SQL Injection?

[Fábio BN 17]

Oi Pessoal.

Qual a melhor forma de fazer conexão ao Banco de Dados no PHP evitando ataques SQL injection, sei que apenas usando str_replace nos apóstrofes não funciona muito bem.

Qual a melhor forma de fechar todas as brechas de segurança?

Grato.
Fábio!

[ESerra 744]

Eu recomendo a leitura desse tópico:

http://stackoverflow.com/questions/134099/are-pdo-prepared-statements-sufficient-to-prevent-sql-injection

Ele é o mais completo que achei sobre esse assunto.

[Fábio BN 17]

Eu achei uns vídeos no Youtube ensinando.

Vou encerrar este tópico!

[gabrielfalieri 15]

Poderia compartilhar?

Eu achei uns vídeos no Youtube ensinando.

Vou encerrar este tópico!

[Pellegrini2106 2]

Use Conexão com PDO e a forma mais segura contra o SQL_Inject!!!

[Fábio BN 17]

E para verificar e evitar erros de apóstrofe, é melhor usar qual?

Essa?

$url = str_replace("'","'",$_POST['var']);

ou essa?

foreach($_GET as $indice => $value) {
$_GET[$indice] = addslashes($_GET[$indice]);
}

Eu costumo usar a primeira opção.

Abraços!

[Beraldo 864]

A melhor forma de filtrar os parâmetros é deixando o SGBD fazer isso pra você. Use Prepared Statements, que cada SGBD vai filtrar da forma adequada a ele.

Veja: http://rberaldo.com.br/pdo-mysql/