Comments on: Proteção contra o SQL Injection

By: Igor Escobar

Igor Escobar — Mon, 05 Sep 2011 14:14:06 +0000

Só aplicar um addslashes nas variáveis. O princípio é o mesmo.

By: Renato Bras

Renato Bras — Sun, 04 Sep 2011 19:24:56 +0000

Igor, parabéns pelo seu script! me protegeu vários sites aqui de clientes

Mas tenho um problema em alguns portaizinhos meus, onde faço uma contagem de usuários online, e pico de usuários, e através das strings utilizando $_SERVER a segurança pode ser quebrada…. Por exemplo:

$ip = $_SERVER["REMOTE_ADDR"]; ou
$ip = getenv(“REMOTE_ADDR”);
e também
list($utime, $time) = explode(” “, microtime());

$query = (“SELECT * FROM table WHERE ip = ‘$ip’ “);

Alguma dica de como aprimorar o script para barrar o SQL injection aqui também? Já tentei remover aspas simples nestas variáveis, mas nada…

Abraços!

By: Igor Escobar

Igor Escobar — Thu, 25 Aug 2011 18:34:43 +0000

Compartilha com a gente

By: Mario Arroyo

Mario Arroyo — Thu, 25 Aug 2011 18:21:53 +0000

Muito bom o seu artigo, Igor. Eu escrevi uma função recursiva muito parecida com a sua para tratamento de SQL Injection, chega a ser espantoso de tão parecida. Uma das diferenças da minha função é que o tratamento de palavras pode ser desativado e, em casos onde o desenvolvedor queira permitir o envio de somente algumas palavras relacionadas à SQL, pode-se também enviar como parâmetro um array contendo somente o conteúdo que deve ser tratado.

By: Igor Escobar

Igor Escobar — Tue, 11 Jan 2011 11:16:33 +0000

Bacana o seu blog também Luis

Abração Keep in touch

By: Luis Fernando Lopes

Luis Fernando Lopes — Tue, 11 Jan 2011 10:29:12 +0000

Você poderia substituir as string ‘ “/ para escapar as mesmas e não teria a necessidade de remover palavras chaves da query. Sem duvidas que o PDO para trabalhar com o banco de dados é a melhor opção mas em muitos sistemas antigos não tem como trocar tudo.
O seu blog está de parabéns gostei muito dele, não conhecia até então.

By: Proterger-se contra o Sql Injection | Blog BrasilHOSP

Proterger-se contra o Sql Injection | Blog BrasilHOSP — Sat, 30 Oct 2010 14:03:10 +0000

[...] Igor Escobar Posted in : [...]

By: Chris Benseler

Chris Benseler — Thu, 12 Aug 2010 14:14:03 +0000

O uso de ORMs ajuda a diminuir esse problema, não?

By: Igor Escobar

Igor Escobar — Tue, 27 Oct 2009 12:02:39 +0000

No Post eu alertei sob o que seria o mais adequado Ricardo, basta ler com calma =)

By: ricardo esteves

ricardo esteves — Tue, 27 Oct 2009 11:31:04 +0000

Remover palavras não é um bom uso.
Por exemplo, no caso do meu site ser um blog sobre desenvolvimento eu não poderia escrever sobre mysql, pq sempre que eu escrever uma query essa função iria desmontar ela …
Ou um fórum de desenvolvimento, um post sobre sql seria inútil pq a função não permitiria que uma querya fosse explicada..