+3

Prevenindo SQL Injection

criado por Péricles Luz em 07/01/2011 12:42pm
Pondo em prática e deixando de lado outras verificações, o código PHP do início do post http://dascoisasqueaprendi.com.br/tiseguranca/sql-injection-outro-foco/ ficaria algo como:
// validando a entrada
$usuario = $_POST['Usuario'];
if(!preg_match('/^[0-9]{1,6}$/', $usuario) die('Usuário inválido!');
$conexao = new mysqli('mysql.exemplo.com', 'root', 'password123', 'agenda', 3306);
// consultando via statement
$statemt = $conexao->prepare('SELECT CompromissoNome, CompromissoData,  CompromissoImportancia FROM Compromisso WHERE UsuarioID = ?');
$statemt->bind_param('i', $usuario);
$statemt->execute();
$statemt->bind_result($nome, $data, $importancia);
echo '<table><tr><td>Nome</td><td>Data</td><td>Importância</td></tr>';
while ($statemt->fetch())
{
echo "<tr><td>$nome</td><td>$data</td><td>$importancia</td></tr>";
}
echo '</table>';

...

Comentários:

Mostrando 1 - 3 de 3 comentários
Roberto disse:
Eu geralmente faço dessa maneira:

$Login = preg_replace("/[<>'\"]/","",$_POST['login']);

Acharam boa?
07/01/2012 11:00am (~4 meses atrás)

Osmar Queiroz disse:
Usando tambem o real_escape ($conexao->real_escape_string($query)) também ajuda bastante.
15/08/2011 1:57pm (~9 meses atrás)

Lucas Tiago de Moraes disse:
Otimo artigo amigo, parabens.
Aconselho a pessoa a usar o PDO, alem de ter prepared statements essa função tambem conecta em qualquer banco de dados.

Um abraço.
16/02/2011 7:42pm (~1 ano atrás)

Novo Comentário:

(Você pode usar tags como <b>, <i> ou <code>. URLs serão convertidas para links automaticamente.)