Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

Luccas Gaulia

Quais os problemas que posso ter no armazenamento de dados no mysql

Por , em PHP

Recommended Posts

Luccas Gaulia    1

Luccas Gaulia
Postado

Ola pessoal,

 

Vejo diversas pessoas utilizando funções para evitar "problemas" de usuários mau intencionados, bem como aqueles sem nenhum intenção.

 

Estas funções são claras para mim, entendo muitas delas, mas o que eu queria saber é quais o pessoal mais utiliza e as melhores "ideias" para as seguintes situações:

Obs. Algo que seja simples porém seguro nos formulários do dia dia também é importante.

 

CADASTRO EM FORMULÁRIOS (POST) NO GERAL

 

ACESSO AO PAINEL DE CONTROLE POR LOGIN E SENHA

 

ENVIO DE INFORMAÇÕES PARA O BANCO DE DADOS PARA CONSULTA

 

Algumas funções que já vi, por favor me informem se tem mais e como podemos utilizar:

  

htmlspecialchars(), evitar injetar tags HTML ou Java Scrpit em sua página

int(), input que os valores precisam ser números, essa é um saída.

trim(), evita inserção de dados no query do mysql...
retorna uma string com os espaçoes retirados do ínicio e do final de str.

preg_replace(), evitar adicionar informações como "SELECT", "INSERT" e demais no formulário que possa evitar tal "invasão em sem mysql"
String ou um array com strings para pesquisar e substituir


============================
strip_tags(), esta função tenta retornar uma string retirando todas as tags HTML e PHP de str.

fgetss(), tenta retirar qualquer tag HTML ou PHP do texto que ele lê.

Obs. Para mim são iguais
===========================

get_magic_quotes_gpc(), utilizada para verificar se houve mudança nas informações recebidas da original.

addslashes(), retorna uma string com barras invertidas antes de caracteres que precisam ser escapados para serem escapados em query a banco de dados, etc. Estes caracteres são aspas simples ('), aspas duplas ("), barra invertida (\) e NUL (o byte NULL).

 

Agora vamos ao exemplo:

  


/** FUNÇÃO PARA EVITAR ENVIO DE INFORMAÇÕES MAL INTENCIONADAS **/
function anti_injection($obj){
	$obj = preg_replace("/(from|alter table|select|insert|delete|update|where|drop table|show tables|#|*|--|\\)/i", "", $obj);
	$obj = trim($obj);
	$obj = strip_tags($obj);
	if(!get_magic_quotes_gpc()) {
		$obj = addslashes($obj);
		return $obj;		   
	}
}

 

 

 

Compartilhar este post

Link para o post
Compartilhar em outros sites

marsolim    110

marsolim
Postado

já viu as prepared statements do mysqli e do pdo? dá uma estudada nessa parada aí que é muito eficiente na proteção. tem como o php tipo preparar a sql pra enviar de forma segura.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Luccas Gaulia    1

Luccas Gaulia
Postado
15 horas atrás, marsolim disse:

já viu as prepared statements do mysqli e do pdo? dá uma estudada nessa parada aí que é muito eficiente na proteção. tem como o php tipo preparar a sql pra enviar de forma segura.

 

Marsolim, 

 

Obrigado, eu já estava estudando esses elementos e o PDO, utilizo ele no desenvolvimento de alguns sites que faço... 

 

Mas fora isso, essas funções que coloquei e outras que posso desconhecer, o que queria saber é se utilizam para outras coisas, por exemplo, um simples formulário de cliente, há alguma preocupação ou necessidade de utilizar o trim()?

 

exemplo de PDO que faço em minhas consultas:

  

	public function getSelectedEquip($admin_id) {
		try {
		    $stmt = $this->conn->prepare("SELECT e.admin_id, e.first_name, e.last_name, e.email, 
		    								e.password, e.gender_id, g.name AS gender_name, 
		    								e.birth_date, e.last_login, e.telephone, e.photo, 
		    								e.lang, e.nivel, e.enabled
		    								FROM tbl_admins e
		    								INNER JOIN tbl_gender g ON g.genders_id = e.gender_id
			                              	WHERE e.admin_id = :_admin_id");

		    $stmt->bindParam(':_admin_id', $admin_id, PDO::PARAM_INT);
		    $stmt->execute();

		    if ($stmt->rowCount() > 0) {
		        return $stmt->fetch();
		    }
		  }
		catch(PDOExeption $e) {
		    http_response_code(500);
		    sql_error("MYSQL ERROR: " . $e->getMessage() . "<br/>");
		}
	}

 

Compartilhar este post

Link para o post
Compartilhar em outros sites

Osmar L Lima    51

Osmar L Lima
Postado

É um assunto que renderia muita discussão, não existe um proteção 100% segura, o que se pode fazer é evitar ao máximo deixar brechas, validar dados tanto no front-end quanto no back-end, dê uma lida neste artigo, ele aborda alguns pontos principais em segurança em aplicações web: https://imasters.com.br/infra/seguranca/seguranca-em-aplicacoes-web-com-php/?trace=1519021197&source=single

Compartilhar este post

Link para o post
Compartilhar em outros sites

Luccas Gaulia    1

Luccas Gaulia
Postado
1 hora atrás, Osmar L Lima disse:

É um assunto que renderia muita discussão, não existe um proteção 100% segura, o que se pode fazer é evitar ao máximo deixar brechas, validar dados tanto no front-end quanto no back-end, dê uma lida neste artigo, ele aborda alguns pontos principais em segurança em aplicações web: https://imasters.com.br/infra/seguranca/seguranca-em-aplicacoes-web-com-php/?trace=1519021197&source=single

 

Fantástico,

 

Os dois!!!!

 

 

Obrigado!!!

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos PHP

  • Conteúdo Similar

    • ILR master
      Conexão mysql com outro domínio
      Por ILR master
      Fala galera, tudo certo?
       
      Seguinte: No servidor A estou tentando fazer uma consulta com o servidor B, mas está dando erro.
      Estou usando o mesmo código de conexão do servidor B que funciona perfeitamente, mas no servidor A, dá erro.
      Segue código:
       
      $host = 'servidor B';
      $user = 'user';
      $pass = '********';
      $db   = 'banco';
       
      // conexão e seleção do banco de dados
      $conexao = mysqlI_connect($host, $user, $pass, $db);
      mysqlI_set_charset($conexao,"utf8");
      //print "Conexão rodando e OK!"; 
      //mysqlI_close($conexao);
       
      Alguém pode me ajudar?
    • douglas79
      Problemas com a última versão do MYSQL
      Por douglas79
      Bom dia,

      Há alguns dias que venho instalar o apache, o php, mysql e o phpmyadmin manualmente e sem obter sucesso. Até consegui rodar o php, porém, quando vou baixar a úitima versão do MYSQL, não tem todos os pacotes nele instalados, inclusive no completo, só encontro o Router.
      Alguém pode me dizer o porquê que isso está ocorrendo?
      Desde já agradeço a ajuda de vocês, que será bem vinda!
      No aguardo!

      Uso a versão 8.3.9 do PHP
      Meu SO é o Windows 10 32 bits
    • landerbadi
      Código pho não executa em banco de dados grande
      Por landerbadi
      Tenho uma tabela chamada "item" com os seguintes campos: id, name, active. Nela tem cadastrado vários itens. No campo "active" eu coloco a letra "S" para informar que este item está ativo no sistema. Por exemplo: 1, casa, S 2, mesa, S 3, cama, S 4, moto S 5, rádio O quinto registro "radio" não está ativo no sistema pois não tem um "S" no campo active. E outra tabela chamada "product" com os seguintes campos (id, name) com os seguintes registros: 1, Produto A 2, Produto B 3, Produto C E uma terceira tabela chamada "product_item" com os seguintes campos (productID, itemID). No campo productID eu coloco o id de um produto da tabela "product" e no campo "itemID" eu coloco o id do produto da tabela "item". Exemplo: 1, 1 1, 3 1, 4 2, 3 2, 4 Sendo assim o produto A da tabela 'product" comtem os itens casa, cama e moto. Eu preciso fazer uma busca da seguinte maneira:  Eu escolho um registro da tabela "item", por exemplo "casa". Preciso fazer com que o php me liste todos os registros da tabela "product" que contenham a palavra "casa" e que os demais itens estejam ativos no siste. Ou seja, que contenham um "S" no campo "active"  Eu consegui fazer isso da seguinte maneira: SELECT P.id, P.name, GROUP_CONCAT(I.name ORDER BY I.name) AS items FROM product P JOIN product_item PI ON P.id = PI.productID JOIN item I ON I.id = PI.itemID AND I.active = 'S' WHERE P.id NOT IN ( SELECT PI.productID FROM product_item PI JOIN item I ON I.id = PI.itemID WHERE I.active IS NULL ) AND P.id IN ( SELECT PI.productID FROM product_item PI JOIN item I ON I.id = PI.itemID WHERE I.name = 'mesa' ) GROUP BY P.id, P.name; O problema que eu estou tendo é o seguinte:
      Quando eu jogo este código para o banco de dados onde eu já tenho os registros cadastrado o php fica lendo uma eternidade e não lista os produtos.
       
      Usando código no banco de dados que eu fiz para testes ele funciona perfeitamente pois nele tem poucos registros.
       
      No banco de dados principal a tabela "item" tem 11.196 registros. A tabela "product" tem 88.214 registros e a tabela "product_item" tem 518.378 registros. 
       
      Eu acredito que, devido o banco de dados ser muito grande, ele não consegue listar.
       
      Alguém sabe de algum meio de resolver isso?
       
       
    • landerbadi
      Consulta SQL dentro de outra consulta
      Por landerbadi
      Boa tarde pessoal. Estou tentado fazer uma consulta no banco de dados porém estou tendo dificuldades. Tenho uma tabela chamada "itens" com os seguintes campos: id, item, ativo. Nela tem cadastrado vários itens. No campo ativo eu coloco a letra "S" para informar que este item está ativo no sistema. Por exemplo: 1, casa, S 2, mesa, S 3, cama, S 4, moto S 5, rádio O quinto registro "radio" não está ativo no sistema pois não tem um "S" no campo ativo. E outra tabela chamada "produtos" com os seguintes campos (id, item1, item2, item3) com os seguintes registros: 1, casa, mesa, moto 2, mesa, casa, cama 3, rádio, cama, mesa Eu preciso fazer uma busca na tabela produtos da seguinte maneira: Eu escolho um registro na tabela "itens", por exemplo "mesa". Preciso fazer com que o php me liste todos os registros da tabela "produtos" que contenham a palavra "mesa". Até aqui tudo bem eu consigo listar. Estou fazendo assim: <?php $item = "mesa" $sql = mysqli_query($conn, "SELECT * FROM produtos WHERE item1 LIKE '$item' OR item2 LIKE '$item' OR item3 LIKE '$item' LIMIT 10"); while($aux = mysqli_fetch_assoc($sql)) { $id = $aux["id"]; $item1 = $aux["item1"]; $item2 = $aux["item2"]; $item3 = $aux["item3"]; echo $id . " - " . $item1 . ", " . $item2 . ", " $item3 . "<br>"; } ?> O problema é que está listando todos os registros que contém o item mesa. Eu preciso que o php verifique os demais item e me liste somente os registro em que todos os registros estejam ativos no sistema. No exemplo acima ele não deveria listar o registro 3. pois nesse registro contém o item "radio" e este item não está ativo no sistema. Ou seja, o registro "radio" na tabela itens não possui um "S" na coluna "ativo". Alguém sabe como resolver isso?
    • First
      Sistema não funciona corretamente
      Por First
      Olá a todos!
       
      Eu estou criando um sistema do zero mas estou encontnrando algumas dificuldades e não estou sabendo resolver, então vim recorrer ajuda de vocês.
      Aqui está todo o meu código: https://github.com/PauloJagata/aprendizado/
       
      Eu fiz um sistema de rotas mas só mostra o conteúdo da '/' não sei porque, quando eu tento acessar o register nada muda.
      E eu também quero que se não estiver liberado na rota mostra o erro de 404, mas quando eu tento acessar um link inválido, nada acontece.
      Alguém pode me ajudar com isso? E se tiver algumas sugestão para melhoria do código também estou aceitando.
       
       
      Desde já, obrigado.
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito