Fóruns sobre PHP, JavaScript, HTML, MySQLi, jQuery, Banco de Dados, CSS


Moderador: web

 
Mais de 100 postagens
Mais de 100 postagens
Tópico Autor
Mensagens: 448

Dúvida sobre SQL INJECTION

20-07-2016 23:30

Essa função é boa ?

http://forum.hostgator.com.br/topic/371 ... per-facil/


Gostaria de saber se sou obrigado adicionar a todas as funções do site ou tem como colocar ela dentro do config.php

obrigado
0
 
Avatar do usuário
ADMIN
ADMIN
Mensagens: 17735
Nome: Kleber
Descrição do site: Onde você encontra scripts grátis para o seu site
Sexo: Masculino
Localização: RJ / RJ / Brasil
Contato:

Re: Dúvida sobre SQL INJECTION

21-07-2016 08:43

Se você tem um arquivo config que é chamado nas páginas onde há conexão, pode colocar a função antiSQL dentro do config. E aplicar a função conforme é mostrado no link.

config.php

<?php if(!function_exists("antiSQL")) { function antiSQL($campo, $adicionaBarras = false) { // remove palavras que contenham sintaxe sql $campo = preg_replace("/(from|alter table|select|insert|delete|update|were|drop table|show tables|#|\*|--|\\\\)/i","Anti Sql-Injection - bjus Mãe !",$campo); $campo = trim($campo);//limpa espaços vazio $campo = strip_tags($campo);//tira tags html e php if($adicionaBarras || !get_magic_quotes_gpc()) $campo = addslashes($campo); return $campo; } } ?>

pagina_com_conexao.php

<?php include("config.php"); $nome = $_POST['nome']; # Normal $nome = antiSQL($nome); # Normal + Proteção da função antiSQL ?>

0
A melhor hospedagem para o seu site HostGator!
 
Mais de 100 postagens
Mais de 100 postagens
Tópico Autor
Mensagens: 448

Re: Dúvida sobre SQL INJECTION

19-08-2016 01:08

Está certo assim ? obrigado


<?php if(!function_exists("antiSQL")) { function antiSQL($campo, $adicionaBarras = false) { // remove palavras que contenham sintaxe sql $campo = preg_replace("/(from|alter table|select|insert|delete|update|were|drop table|show tables|#|\*|--|\\\\)/i","Beijos - Hacker.",$campo); $campo = trim($campo);//limpa espaços vazio $campo = strip_tags($campo);//tira tags html e php if($adicionaBarras || !get_magic_quotes_gpc()) $campo = addslashes($campo); return $campo; } } ?>


Variaveis
<? $Alterar = antiSQL($_POST['Alterar']); $nome = antiSQL($_POST['nome']); $login = antiSQL($_POST['login']); $senha = antiSQL($_POST['senha']); $nivel = antiSQL($_POST['nivel']); $email = antiSQL($_POST['email']); $email2 = antiSQL($_POST['email2']); $telefone = antiSQL($_POST['telefone']); $celular = antiSQL($_POST['celular']); $anexofoto = antiSQL($_POST['anexofoto']); $anexofoto2 = antiSQL($_POST['anexofoto2']); $anexofoto3 = antiSQL($_POST['anexofoto3']); $anexofoto4 = antiSQL($_POST['anexofoto4']); $anexofoto5 = antiSQL($_POST['anexofoto5']); $datanascimento = antiSQL($_POST['datanascimento']); $endereco = antiSQL($_POST['endereco']); $bairro = antiSQL($_POST['bairro']); $cidade = antiSQL($_POST['cidade']); $uf = antiSQL($_POST['uf']); $complemento = antiSQL($_POST['complemento']); $cep = antiSQL($_POST['cep']); $brevecurriculo = antiSQL($_POST['brevecurriculo']); $facebook = antiSQL($_POST['facebook']); $twitter = antiSQL($_POST['twitter']); $youtube = antiSQL($_POST['youtube']); $instagram = antiSQL($_POST['instagram']); $googleplus = antiSQL($_POST['googleplus']); $linkedin = antiSQL($_POST['linkedin']); ?>

0
 
Avatar do usuário
ADMIN
ADMIN
Mensagens: 17735
Nome: Kleber
Descrição do site: Onde você encontra scripts grátis para o seu site
Sexo: Masculino
Localização: RJ / RJ / Brasil
Contato:

Re: Dúvida sobre SQL INJECTION

19-08-2016 07:40

Está correto.

Mas por segurança eu bloquearia também o símbolo de igual =.

$campo = preg_replace("/(from|alter table|select|insert|=|delete|update|were|drop table|show tables|#|\*|--|\\\\)/i","Beijos - Hacker.",$campo);
0
A melhor hospedagem para o seu site HostGator!
 
Mais de 100 postagens
Mais de 100 postagens
Tópico Autor
Mensagens: 448

Re: Dúvida sobre SQL INJECTION

21-08-2016 00:51

blz, obrigado pela dica!.
0

Quem está online

Usuários navegando neste fórum: Nenhum usuário registrado