Nesta aula vamos entender como funciona o SQL Injection sendo elas via método GET ou POST.
SQL Injetcion são técnicas usadas por hackers para invadir Banco de Dados SQL.
Vamos aprender como tratar os campos resgatados antes de ser inserido em um instrução SQL.
E assim acabar com a vulnerabilidade dos SQL Injetcions.
Para isto vamos usar o stripslashes e mysql_real_escape_string.
Lembrando que sempre deve se estudar sobre Segurança. E o que eu estava com duvida no fim da aula esta correto.
Método GET
Método POST
SQL Injection
<?php
function escape($string) //função Escape que previne o SQL Injetcion
{
$string = get_magic_quotes_gpc() ? stripslashes($string) : $string;
$string = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($string) : mysql_escape_string($string);
return $string;
}
?>
<?php
$usuario = escape($_POST['usuario']);//executa a função ESCAPE com o usuário resgatado via metodo POST
$senha = escape($_POST['senha']);//executa a função ESCAPE com a senha resgatado via metodo POST
$sql = "SELECT * FROM usuarios WHERE nome = '$usuario' AND senha = '$senha'"; //Instrução SQL comum
mysql_query($sql);
?>
Luiz tudo tranquilo,
estou começando com php , estou vindo do ASP , hoje é dia 18/10/2010 esse metodo que você explicou é usado para evitar injeção sql, ainda em uso ou ja esta ultrapassado , agora se fala em php 5,
Ademir
Floripa
Sim Ademir, esta técnica é usada muito na web, sem previsão para aposenta-la.