Função Anti MySQL Injection - Proteja sua aplicação!

Publicado por Perfil removido 14/03/2009

[ Hits: 25.976 ]

Download anti_injection.php

0 0
Denuncie   Favoritos   Indicar  



Função que evita ataques do tipo MySQL Injection.

O uso de uma função deste tipo hoje em dia é obrigatório para se obter o mínimo de segurança. Deve ser utilizada em todas as variáveis que contiverem dados informados pelos usuários!

Para incluir no seu script, utilize a seguinte linha:

include_onde('anti_injection.php');

Exemplo de uso:

$nome = anti_injection($_POST['nome']);

Então a variável $nome estará segura para utilizar em consultas SQL.

  



Esconder código-fonte

<?php

# Função Anti MySQL Injection - Proteja suas aplicações!
# Por Alexandro G. Correa - Porto Alegre - RS
# alex.linux (at) gmail.com
# 13/03/2009

function anti_injection($sql){
   $sql = preg_replace(sql_regcase("/(from|select|insert|delete|where|drop table|show tables|#|\*|--|\\\\)/"), "" ,$sql);
   $sql = trim($sql);
   $sql = strip_tags($sql);
   $sql = (get_magic_quotes_gpc()) ? $sql : addslashes($sql);
   return $sql;
}

?>

Scripts recomendados

Perfect Crypt Class

Página protegida v2004.1

Segurança para sua página

LOGIN em php utilisando session e mysql!

Geração de chaves Diffie-Hellman


  

Comentários
[1] Comentário enviado por removido em 14/03/2009 - 14:00h

Amigos, apenas uma correção. O correto para incluir o script em seu site é:

include_once('anti_injection.php');

Um abraço!
Alex.

[2] Comentário enviado por Gabriel_Silva em 14/03/2009 - 14:52h

Não seria mais simples... ?

http://php.net/en/mysql_real_escape_string

[3] Comentário enviado por removido em 14/03/2009 - 17:15h

Se analisar o código, a mysql_real_escape_string é menos completa. O que posso garantir é que o script que publiquei sempre resolveu os problemas e nunca houve nenhum ataque de MySQL Injection bem-sucedido.

[4] Comentário enviado por pedroarthur.jedi em 16/03/2009 - 12:29h

Boa... Mas se o texto for em inglês? Ou se o sujeito quiser mandar o outro digitar a tecla 'insert' do teclado?

[5] Comentário enviado por removido em 16/03/2009 - 14:47h

Pedro, esta função pode ser utilizada em qualquer idioma... a linguagem SQL tem um padrão internacional. Sobre digitar "insert", não entendi mesmo...

[6] Comentário enviado por ferlopes em 17/06/2016 - 11:47h

Muitos anos depois, mas vem ao caso:

Sobre digitar insert: se uma pessoa escrever qualquer palavra "delete", ou "insert" no meio de um texto, por exemplo, um texto técnico, ele simplesmente vai substituir por ''...


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Armazenando a senha de sua carteira Bitcoin de forma segura no Linux

Enviar mensagem ao usuário trabalhando com as opções do php.ini

Meu Fork do Plugin de Integração do CVS para o KDevelop

Compartilhando a tela do Computador no Celular via Deskreen

Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

Dicas

Encontre seus arquivos facilmente com o Drill

Mouse Logitech MX Ergo Advanced Wireless Trackball no Linux

Compartilhamento de Rede com samba em modo Público/Anônimo de forma simples, rápido e fácil

Cups: Mapear/listar todas as impressoras de outro Servidor CUPS de forma rápida e fácil

Criando uma VPC na AWS via CLI

Tópicos

Olá quais distribuições recomendam para usar no dia a dia. (4)

A coisa universal é muito mais ampla do que cê imagina (13)

Vc tem um projeto opensource? link? (5)

minha maquina foi desinstalada o firefox eu preciso reinstalar tentei... (6)

Erro na inicialização do Arch Linux. (1)

Top 10 do mês

Scripts

[Outros] Dicas e truques Matematica Básica

[C/C++] reverse shell na marra!

[C/C++] criptografia de modo simples

[C/C++] intdb - gerador de wordlist numerica

[C/C++] genpass - gerador de senhas seguras

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: