você está aqui: Home  → Arquivo de Mensagens

Salvando a pele do Programador php - SQL injection

Colaboração: Altemir Braz Dantas Junior

Data de Publicação: 02 de fevereiro de 2011

São poucos os programadores que pensam em "Segurança" quando estão desenvolvendo suas aplicações. Vou passar uma dica que salvará esse programadores rsrsrsr.

Então vamos lá, primeiramente crie um arquivo php contendo as seguintes linhas:

ex: security.php

  <?php
  
  /*
     aqui vai varrer todos os REQUEST,POST e GET e jogar o seu valor para
     função limpa_sqlinjection, e retornar para o proprio REQUEST,POST e GET.
  
  */
  
  foreach ($_REQUEST as $index=>$valor){
        $_REQUEST[$index] = limpa_sqlinjection($valor);
  }
  foreach ($_GET as $index=>$valor){
        $_GET[$index] = limpa_sqlinjection($valor);
  }
  foreach ($_POST as $index=>$valor){
        $_POST[$index] = limpa_sqlinjection($valor);
  }
  
  function limpa_sqlinjection($var){
  /* 
     aqui você pode colocar todas as formas de proteção que você ja utiliza
     para seu banco de dados contra sql injection, vou colocar um exemplo
     que é a função mysql_real_escape_string
  */
        $var = mysql_real_escape_string($var);
  
  // caso nao tenha a function mysql_real_escape_string use a mysql_escape_string
  
        return $var;
  }
  
  ?>

Agora é só dar um include desse arquivo na lib principal ou em todos os arquivos php que recebem POST,GET ou REQUEST, assim todas essas formas estarão protegidas mesmo que o programador esqueça de filtrar.



Veja a relação completa dos artigos de Altemir Braz Dantas Junior