Tudo que eu(nós) preciso para evitar mysql injection!
Olá pessoal, estou estudando sobre injection, na internet, mas não achei um conteúdo mais "solido", onde eu pudesse ir dormir um pouco mais tranquilo sabendo que minhas tabelas estão seguras! Então, recorro á vocês, tenho certeza que muitos tem experiências aqui para passar :hug:
Bem, achei o seguinte código aqui no fórum:
function anti_injection($sql)
{
// remove palavras que contenham sintaxe sql
$sql = preg_replace(sql_regcase("/(from|select|insert|delete|where|drop table|show tables|#|\*|--|\\\\)/"),"",$sql);
$sql = trim($sql);//limpa espaços vazio
$sql = strip_tags($sql);//tira tags html e php
$sql = addslashes($sql);//Adiciona barras invertidas a uma string
return $sql;
}//modo de usar pegando dados vindos do formulario
$nome = anti_injection($_POST["nome"]);
$senha = anti_injection($_POST["senha"]);
?>http://forum.imasters.com.br/topic/125349-anti-sql-injection/?hl=sql
Minha primeira duvida é: Na quarta linha, ele especifica alguns comando que não poderão ser passado pelo usuário. Mas se o campo for text, um fórum por exemplo, e ele quiser escrever em inglês? Como que faz?
Quem tiver outras dica, podem colocar pessoal...
Discussão (9)
Carregando comentários...