Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

BrunoBit

anti sql injection

Por , em PHP

Recommended Posts

BrunoBit    82

BrunoBit
Postado

Fala pessoal, bom dia, tudo joia por aí?

Esses dias eu li uma matéria/aula de um site que o @Gabriel Heming compartilhou com a gente aqui no fórum sobre sql injection, acredito que seja um dos melhores conteúdos explicativos sobre sql injection, vou deixar o link aqui pra vcs caso queiram ler também pq vale à pena pra quem quer formatar bem seu sql e proteger seu banco de injeções: https://phpdelusions.net/sql_injection

 

Gostaria de saber, como vocês fazem pra bloquear sql injection? Digo com relações à verificações antes de inserir qualquer coisa no sql, pq pelo o que entendi no artigo basicamente a sql injection acontece por má formatação do sql e por verificações erradas do conteúdo das variáveis, aí a pessoa de má fé explora essas más formatações.

Hoje tava fazendo uma conexão ao banco de dados e parei pra pensar nisso, com relação à verificações, em um primeiro momento saiu isso 

    $business_name  = $_POST['business'];
    $name_business  = $_POST['txtuname'];
    $email_business = $_POST['txtemail'];
    $upass          = $_POST['txtpass'];
    $active_invoice = $_POST['ativar_fatura'];
    $price_business = $_POST['business_price'];
    $verify_variables = array($business_name,$name_business,$email_business,$upass,$active_invoice,$price_business);
    for($i = 0;$i < count($verify_variables);$i++){
        $verify_variables[$i]  = str_replace("=", "", $verify_variables[$i]);
        $verify_variables[$i]  = str_replace("'", "", $verify_variables[$i]);
        $verify_variables[$i]  = str_replace("`", "", $verify_variables[$i]);
        $verify_variables[$i]  = str_replace(":", "", $verify_variables[$i]);
        $verify_variables[$i]  = str_replace(";", "", $verify_variables[$i]);
        $verify_variables[$i]  = str_replace(",", "", $verify_variables[$i]);
        $verify_variables[$i]  = str_replace("(", "", $verify_variables[$i]);
        $verify_variables[$i]  = str_replace(")", "", $verify_variables[$i]);
        $verify_variables[$i]  = str_replace("\"", "", $verify_variables[$i]);
        $verify_variables[$i]  = str_replace("INSERT INTO", "", $verify_variables[$i]);
        $verify_variables[$i]  = str_replace("DELETE FROM", "", $verify_variables[$i]);
        $verify_variables[$i]  = str_replace("SELECT FROM", "", $verify_variables[$i]);
        $verify_variables[$i]  = str_replace("SELECT * FROM", "", $verify_variables[$i]);
        $verify_variables[$i]  = str_replace("SELECT *", "", $verify_variables[$i]);
        $verify_variables[$i]  = str_replace("DELETE * FROM", "", $verify_variables[$i]);
        $verify_variables[$i]  = str_replace("DELETE *", "", $verify_variables[$i]);
    }

Existe bastante discussão com relação às aspas simples ', como no caso de alguém com nome de Hanna O'hara, bastante comum nos estados unidos esse estilo de nome, mas aqui no Brasil acredito que quase ninguém tenha esse nome com aspas simples, a não ser se um gringo for utilizar.

Eu sinceramente ainda não sei utilizar 100% o htmlentities(), htmlspecialchars(), mysql_real_string_escape() e derivados pra fazer uma boa verificação assim que receber a variável, como os $_POST[''] lá em cima que estão tudo "pelado" sem nenhuma pré verificação com htmlentities, htmlspecialchar ou mysql_real_string_escape.

 

Como vocês fazem? O que vocês adicionariam ou removeriam nesse código que dei de exemplo? Ou se fariam completamente diferente.

 

Valeu rapaziada, abração pra vocês e fiquem com Deus.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Dorian Neto    41

Dorian Neto
Postado

Cara, muitos ORMs, que são camadas de abstrações de banco de dados, realizam essa proteção de forma bastante eficaz. Você pode encontrar vários projetos, como o Doctrine, Eloquent, TORM etc ou você pode utilizar a PDO que é nativa do PHP.

 

Como você já entende quais são os possíveis problemas que pode ter se não tiver um certo cuidado, fica fácil de entender como essas camadas de abstrações se previnem desse tipo de ataque. Sugiro que você escolha um e estude/utilize/teste pra entender como são realizadas essas prevenções.

 

Nada melhor que fuçar o código e/ou documentação :P

Compartilhar este post

Link para o post
Compartilhar em outros sites

AnthraxisBR    56

AnthraxisBR
Postado

Cara, eu particularmente trabalho só com sistema interno, então essa não é um grande problema, mas pra previnir algum cara que se acha o hacker de fazer gracinha, ou algum operacional faça alguma coisa sem querer, eu uso duas ferramentas:

 

Classe GUMP -> Pra filtrar todos os inputs e integrar com meu framework de validação interno, essa classe aparentemente é muito boa e da pra extender facilmente.

 

PDO PHP -> para fazer as interações com o banco de dados.

 

Bem trabalhadas, elas devem oferecer uma segurança muito boa.

 

Ja a respeito do seu código, de forma mais básica eu importaria a classe GUMP e faria a sanitização:

  

<?php
$GUMP = new GUMP;
$post = $GUMP->sanitize($_POST);

$business_name  = $post['business'];
    $name_business  = $post['txtuname'];
    $email_business = $post['txtemail'];
    $upass          = $post['txtpass'];
    $active_invoice = $post['ativar_fatura'];
    $price_business = $post['business_price'];

 

 

Compartilhar este post

Link para o post
Compartilhar em outros sites

BrunoBit    82

BrunoBit
Postado

@Dorian Neto show de bola, vou estudar essas que você citou, PDO eu vejo uma boa galera usando também, ainda to na fase da conexão mais "comum" e aprendendo ela, depois vou partir pro PDO também, obrigadão Dorian.

@AnthraxisBR vou dar uma fuçada nesse GUMP, baixei ele aqui e vou fazer uns testes seguindo o exemplo que você deu.

 

Valeu mesmo rapaziiada, pq esse negócio de segurança com o banco de dados faz a gente coçar a cabeça.

 

Compartilhar este post

Link para o post
Compartilhar em outros sites

Omar~    87

Omar~
Postado

Muito simples, com infinidades de possibilidades....

 

expressão regular/ filtros/ tratamento de strings etc...

 

Mas só por dica deixar de usar SUPER-GLOBAL exemplo $_POST/$_GET etc... e principalmente $_SESSION

Compartilhar este post

Link para o post
Compartilhar em outros sites

AnthraxisBR    56

AnthraxisBR
Postado
  Em 28/06/2017 at 11:56, BrunoMs disse:

Bacana a dica @OmarF, no caso de deixar de usar as super global post, get e session, por qual função você substituiria elas?

 

Você não iria substituir, você iria passar por algum filtro, no exemplo que eu dei, foi o filtro do GUMP, mas existem muitos outros que também servem, da uma olhada:

 

https://www.w3schools.com/php/php_filter.asp

 

 

 

Compartilhar este post

Link para o post
Compartilhar em outros sites

BrunoBit    82

BrunoBit
Postado

@AnthraxisBR show de bola, agora entendi, ontem baixei o gump pra olhar e gostei bastante, vem com vários exemplos também. Preciso estudar classes agora pra compreender melhor a funcionalidade dele e adaptar nos meus códigos.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Omar~    87

Omar~
Postado

Funções nativas do PHP para definir filtros:

Só com o uso desses filtros já se garante digamos 90% de segurança

Mais uma função de tratamento aqui e uma expressão regulá por alí digamos que se consegue 9% de segurança, sobrando 1%, porque nada é 100% seguro.

  Mostrar conteúdo oculto

 

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos PHP

  • Conteúdo Similar

    • luiz monteiro
      php + mysql - where do select em campo varchar com dados numéricos com zeros a direita
      Por luiz monteiro
      Olá, tudo bem?
       
      Estou melhorando meu conhecimento em php e mysql e, me deparei com o seguinte. A tabela da base de dados tem um campo do tipo varchar(8) o qual armazena números. Eu não posso alterar o tipo desse campo. O que preciso é fazer um select para retornar o números que contenham zeros a direita ou a esquerda.
      O que tentei até agora
       
      Ex1
      $busca = $conexao->prepare("select campo form tabela where (campo = :campo) ");
      $busca->bindParam('campo', $_REQUEST['campo_form']);
       
      Se a direita da string $_REQUEST['campo_form'] termina ou inicia com zero ou zeros, a busca retorna vazio.
      Inseri dados numéricos, da seguinte maneira para testar: 01234567;  12345670: 12345678: 12340000... entre outros nessa coluna. Todos os valores que não terminam ou não iniciam com zero ou zeros, o select funciona.
       
       
      Ex2
      $busca = $conexao->prepare("select campo form tabela where (campo = 0340000) ");
      Esse número está cadastrado, mas não retorna.
       
      Ex3
      $busca = $conexao->prepare("select campo form tabela where (campo = '02340001' ) ");
      Esse número está cadastrado, mas não retorna.
       
       
      Ex4
      $busca = $conexao->prepare("select campo form tabela where (campo like 2340000) ");
      Esse número está cadastrado, mas não retorna.
       
      Ex5
      $busca = $conexao->prepare("select campo form tabela where (campo like '12340000') ");
      Esse número está cadastrado, mas não retorna.
       
      Ex6
      $busca = $conexao->prepare("select campo form tabela where (campo like '"12340000"' ) ");
      Esse número está cadastrado, mas não retorna.
       
       
      Ex7
      $busca = $conexao->prepare("select campo form tabela where (campo like :campo) ");
      $busca->bindParam('campo', $_REQUEST['campo_form'])
      Não retorna dados.
       
      O  $_REQUEST['campo_form'] é envio via AJAX de um formulário. 
      Usei o gettype para verificar o post, e ele retorna string.
      Fiz uma busca com número 12345678 para verificar o que o select retorna, e também retrona como string.
       
      Esse tipo de varchar foi usado porque os números que serão gravados nesse campo,  terão zeros a direita ou na esquerda. Os tipos number do mysql não gravam zeros, então estou usando esse. O problema é a busca.
      Agradeço desde já.
       
       
    • daemon
      lendo RSS com PHP mostrando a imagem de preview
      Por daemon
      Boa tarde,
       
      Eu tenho uma rotina que faz uma leitura do arquivo .xml de vários sites.

      Eu consigo pegar o tópico e a descrição, e mostrar a imagem que esta na pagina do link.
      Para isso utilizo esta função:
      function getPreviewImage($url) { // Obter o conteúdo da página $html = file_get_contents($url); // Criar um novo objeto DOMDocument $doc = new DOMDocument(); @$doc->loadHTML($html); // Procurar pela tag meta og:image $tags = $doc->getElementsByTagName('meta'); foreach ($tags as $tag) { if ($tag->getAttribute('property') == 'og:image') { return $tag->getAttribute('content'); } } // Se não encontrar og:image, procurar pela primeira imagem na página $tags = $doc->getElementsByTagName('img'); if ($tags->length > 0) { return $tags->item(0)->getAttribute('src'); } // Se não encontrar nenhuma imagem, retornar null return null; } // Uso: $url = "https://example.com/article"; $imageUrl = getPreviewImage($url); if ($imageUrl) { echo "<img src='$imageUrl' alt='Preview'>"; } else { echo "Nenhuma imagem encontrada"; }  
      Mas estou com um problema, esta funcão funciona quando coloco em uma pagina de teste.php. Preciso mostrar em uma página inicial diversas fotos de todos os links. (No caso acima só funciona 1).
    • violin101
      PHP+Codeginiter - Orientação para Impressão
      Por violin101
      Caros amigos, saudações.
       
      Por favor, me permita tirar uma dúvida com os amigos.

      Tenho um Formulário onde o Usuário digita todos os Dados necessários.

      Minha dúvida:
      --> como faço após o usuário digitar os dados e salvar, o Sistema chamar uma Modal ou mensagem perguntando se deseja imprimir agora ?

      Grato,
       
      Cesar
    • Carcleo
      Ajuda com Extends e envio para o banco
      Por Carcleo
      Tenho uma abela de usuarios e uma tabela de administradores e clientes.
      Gostaria de uma ajuda para implementar um cadastro
       
      users -> name, login, passord (pronta) admins -> user_id, registratiom, etc.. client -> user_id, registratiom, etc...
      Queria ajuda para extender de user as classes Admin e Client
      Olhem como estáAdmin
      <?php namespace App\Models; use Illuminate\Database\Eloquent\Factories\HasFactory; use Illuminate\Database\Eloquent\Model; class Admin extends User {     use HasFactory;            protected $fillable = [         'name',         'email',         'password',         'registration'     ];      private string $registration;     public function create(         string $name,          string $email,          string $password,         string $registration     )     {         //parent::create(['name'=>$name, 'email'=>$email, 'password'=>$password]);         parent::$name = $name;         parent::$email = $email;         parent::$password = $password;         $this->registration = $registration;     } } User
      <?php namespace App\Models; // use Illuminate\Contracts\Auth\MustVerifyEmail; use Illuminate\Database\Eloquent\Factories\HasFactory; use Illuminate\Foundation\Auth\User as Authenticatable; use Illuminate\Notifications\Notifiable; use Illuminate\Database\Eloquent\Relations\BelongsToMany; class User extends Authenticatable {     /** @use HasFactory<\Database\Factories\UserFactory> */     use HasFactory, Notifiable;     static string $name;     static string $email;     static string $password;     /**      * The attributes that are mass assignable.      *      * @var list<string>      */     protected $fillable = [         'name',         'email',         'password',     ];          /**      * The attributes that should be hidden for serialization.      *      * @var list<string>      */     protected $hidden = [         'remember_token',     ];     /**      * Get the attributes that should be cast.      *      * @return array<string, string>      */     protected function casts(): array     {         return [             'email_verified_at' => 'datetime',             'password' => 'hashed',         ];     }          public function roles() : BelongsToMany {         return $this->belongsToMany(Role::class);     }       public function hasHole(Array $roleName): bool     {                 foreach ($this->roles as $role) {             if ($role->name === $roleName) {                 return true;             }         }         return false;     }         public function hasHoles(Array $rolesName): bool     {                 foreach ($this->roles as $role) {             foreach ($rolesName as $rolee) {             if ($role->name === $rolee) {                 return true;             }          }         }         return false;     }         public function hasAbility(string $ability): bool     {         foreach ($this->roles as $role) {             if ($role->abilities->contains('name', $ability)) {                 return true;             }         }         return false;     }     } Como gravar um Admin na tabela admins sendo que ele é um User por extensão?
      Tentei assim mas é claro que está errado...
      public function store(Request $request, Admin $adminModel) {         $dados = $request->validate([             "name" => "required",             "email" => "required|email",             "password" => "required",             "registration" => "required"         ]);         $dados["password"] =  Hash::make($dados["password"]);                  $admin = Admin::where("registration",  $dados["registration"])->first();                  if ($admin)              return                    redirect()->route("admin.new")                             ->withErrors([                                 'fail' => 'Administrador já cadastrados<br>, favor verificar!'                   ]);                            $newAdmin = $adminModel->create(                                    $dados['name'],                                    $dados['email'],                                    $dados['password'],                                    $dados['registration']                                 );         dd($newAdmin);         $adminModel->save();         //$adminModel::create($admin);                  return redirect()->route("admin.new")->with("success",'Cadastrado com sucesso');     }  
    • violin101
      PHP+Codeigniter - Dúvida referente a PDV
      Por violin101
      Caros amigos, saudações.
       
      Gostaria de tirar uma dúvida com os amigos, referente a PDV.
       
      Estou escrevendo um Sistema com Ponto de Vendas, a minha dúvida é o seguinte, referente ao procedimento mais correto.

      Conforme o caixa vai efetuando a venda, o Sistema de PDV já realiza:
      a baixa direto dos produtos no estoque
      ou
      somente após concretizar a venda o sistema baixa os produtos do estoque ?
       
      Grato,
       
      Cesar
       
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito