Jump to content
LuanMartinsTI

Existe perigo ao criar uma funcao assim

Recommended Posts

Eu gostaria de saber se existe algum problema relacionado a seguranca criando uma funcao assim, no exemplo sempre que eu crio uma funcao pre reutilizar os dados sao passados direto na chamada da funcao dentro do php, o usuario nao insere nenhum dado, quando o usuario vai inserir dados eu nao trabalho dessa forma, entao minha duvida [e, se mesmo o parametro da funcao sendo informado dentro do php no codigo pode existir algum problema.

public function contar_cadastro($tabela, $sql){
        try {
            if($sql == null){
                $this->Select = $this->Conn->prepare("SELECT * FROM $tabela");
                $this->Select->execute();
                return $this->Select->rowCount();
            }else{
                $this->Select = $this->Conn->prepare("SELECT * FROM $tabela". " " ." $sql");
                $this->Select->execute();
                return $this->Select->rowCount();
            }          
        } catch (PDOException $exc) {
            exibeMensagens($Msg, $ErrNo);
        }
    }

E as chamadas das funcoes assim
 

$cmsPDO = new CmsPDO();
        $r_userStaff  = $cmsPDO->contar_cadastro('usuarios', ' where cargo > 2');
        $r_userVip    = $cmsPDO->contar_cadastro('usuarios', ' where cargo = 2');
        $r_userBan    = $cmsPDO->contar_cadastro('usuarios', " where ban = '1'");
        $r_usuarioPDO = $cmsPDO->contar_cadastro('usuarios', null);
        
        $r_servVip    = $cmsPDO->contar_cadastro('servidores', " where vipfree = 'V'");
        $r_servFree   = $cmsPDO->contar_cadastro('servidores', " where vipfree = 'F'");
        $r_servInat   = $cmsPDO->contar_cadastro('servidores', " where verificado = '1'");
        $r_servOff    = $cmsPDO->contar_cadastro('servidores', " where estado = 'Off'");
        $r_servOn     = $cmsPDO->contar_cadastro('servidores', " where estado = 'On'");
        $r_servidores = $cmsPDO->contar_cadastro('servidores', null);

Eu normalmente crio as funcoes assim:

public function cadastrar_usuario($usuario){
        try {
            if($this->veriricarnick($usuario) == false){
                if($this->verificiarEmail($usuario) == false){
                    $query = 'INSERT INTO usuarios '
                            . '(id, nome, senha, email, cargo, ip)'
                            . 'value(null,:nome, :senha, :email, :cargo, :ip)';
                    $this->Criar = $this->Conn->prepare($query);
                    $this->Criar->bindValue(':nome'  , $usuario->getNome() , PDO::PARAM_STR);
                    $this->Criar->bindValue(':senha' , $usuario->getSenha(), PDO::PARAM_STR);
                    $this->Criar->bindValue(':email' , $usuario->getEmail(), PDO::PARAM_STR);
                    $this->Criar->bindValue(':cargo' , $usuario->getCargo(), PDO::PARAM_INT);
                    $this->Criar->bindValue(':ip'    , $usuario->getIp()   , PDO::PARAM_STR);
                    $this->Criar->execute();
                    if($this->Criar->rowCount() == 1){
                        return 1;
                    }else{
                        return false;
                    }
                }else{
                    return false;
                }
            }else{
                return false;
            }
        } catch (PDOException $exc) {
            exibeMensagens("<b> Erro ao inserir.</b> Mensagem:{$exc->getMessage()} Código: {$exc->getCode()}", WS_ERROR);
        }
    }

 

Share this post


Link to post
Share on other sites

Se os dados não vierem de fontes externas, não há problema algum.

 

Veja o link abaixo para maiores informações sobre SQL injection: https://phpdelusions.net/sql_injection

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Similar Content

    • By patrickjnunes1995
      Bom dia, estou tendo dificuldades em recuperar dados de uma tabela do banco de dados, pelo PHP.
      <?php require_once('conexao_bd.php'); $consulta = "SELECT * FROM table"; $con = $mysqli->query($consulta) or die ($mysql->error); echo $dado["nome"]; ?>  
      E o arquivo conexão_bd.php está ok.
       
      Não pude encontrar em nenhuma página pela internet essa solução.
       
      Quero que exiba na página PHP, valores como algum nome, gravado na tabela do banco de dados.
       
      Desde já obrigado.
    • By Joob
      Boas Malta,
       
      Não sei porquê que não estou a conseguir remover os ficheiros após minutos..
      Por exemplo ele vai buscar o deleteshared_links e apaga a partilha feita após o tempo colocado, mas no deletezips já não apaga.
      Supostamente ele vai buscar os ficheiros da pasta zip e deveria apagar.
       
      Resolvido
       
      Obrigado :)
    • By adamo marinho
      Estou tentando achar numeros iguais dentro de arrays criadas usando a função array_intersect, porem para facilitar o meu projeto, precisaria incluir variaveis dentro das arrays, alguem pode ajudar por favor?

      <?php $v1_1 = 1; $v1_2 = 2; $v1_3 = 3; $v1_4 = 4; $v1_5 = 5; $v1 = array($v1_1, $v1_2, $v1_3, $v1_4, $v1_5); $v2_1 = 6; $v2_2 = 7; $v2_3 = 8; $v2_4 = 9; $v2_5 = 10; $v2 = array($v2_1, $v2_2, $v2_3, $v2_4, $v2_5); $v3_1 = 10; $v3_2 = 9; $v3_3 = 8; $v3_4 = 7; $v3_5 = 6; $v3 = array($v3_1, $v3_2, $v3_3, $v3_4, $v3_5); $v4_1 = 5; $v4_2 = 4; $v4_3 = 3; $v4_4 = 2; $v4_5 = 1; $v4 = array($v4_1, $v4_2, $v4_3, $v4_4, $v4_5); $resultado = array_intersect($v1, $v2, $v3, $v4 ); var_dump($resultado); ?>
    • By babylon
      Ola amigos,
       
      Estava querendo criar algo para meu site, um botao igual do site abaixo para calcular formas de pagamento "ver formas de pagamento":
       
      https://www.chipart.com.br/pc-gamer-level-one-black-amd-3400g
       
      Segue imagem em anexo.
       
      Alguem poderia me ajudar se tem algum script algo pronto ou que ajude para abrir pop up modal?
       
      Obrigado a todos.
       
       

    • By srs1999_
      Tópico
       
      Site em Código
      Sobre desenvolver sites sem o wordpress que ja tá tudo ali feito que seja um site dinâmico ou seja com banco de dados , APIs de pagamento, Painel para o usuário ,  além de todas  as funções que tem no wordpress e você teria propriedade pra explicar sobre detalhes mais técnicos da produção onde no wordpress só quem entende de progrqmação explicaria algum detalhe técnico 
      Então usando basicamente : 
      FRONT END 
      HTML 
       CSS 
      JAVASCRIPT 
      ALGUMA DE BACKEND COMO PHP E BANCO DE DADOS
      Pode se criar sites/sistemas tão bons ou melhores que no wordpress
       
      Fato : o proprio wordpress é feito em php e ate o proprio facebook tbm em php
      Fato 2 :  cerca de 70% dos sites são feitos em Wordpress
       
      Acho esse lance de procurar o caminho mais fácil limita muito a pessoa por exemplo é facil editar imagens no paint bem intuitivo , agora para editar no photoshop com muitas outras possibilidades  acaba sendo importante ir explorando essa elaboração mais difícil  com um mesmo objetivo. No caso do exemplo ( editar imagens )  
       
      Reflexão:
      Vale a pena se dedicar a trabalhar com a ferramenta Wordpress apenas por ser um meio rápido de ganhar dinheiro ?
      Ou trabalhar sem wordpress  usando tudo que exigido pra criar coisas originais mais que não seria tão rápido a produção. Mas creio que além dos sites feitos também geraria a possibildade de vender o sistema web criado para o cliente personalizar .
       
      Você Desenvolveria de que forma :
       Wordpress apenas ?
       
      Conhecer programação pra trabalhar 
      com  Wordpress ?
       
      Produzir tudo só com programação totalmente dinâmico sem  Wordpress?
×

Important Information

Ao usar o fórum, você concorda com nossos Terms of Use.