SQL Injection
Olá... estou desenvolvendo um pequeno sistema e recentemente ouvi falar de Sql Injection. Não sei exatamente como funciona. Mas queria saber se estou abrindo oportunidade para que isso aconteça. Pelo que entendi de SQL Injection, alguma pessoa que tenha acesso ao site, pode entrar na edição html da pagina, e alterar a codificação podendo alterar os resultados SQL.
No meu caso, tenho um script pra fazer um filtro de uma busca SQL e passo alguns parâmetros para efetuar a busca. Segue um dos meus códigos.
$.ajax({
url: raiz+"include/autocomplete.php",
dataType: "json",
data: {
tabela: "grupos",
criterio1: "grupo=",
valor1: "produto tipo",
criterio2: "and descricao like",
valor2: $("#tipo").val(),
label: "descricao"
},
success: function(data) {
response(data);
}
});Discussão (5)
Carregando comentários...