Comentários sobre: PHP: Função Anti-SQL Injection http://www.webartz.com.br/php/php-funcao-anti-sql-injection/ Onde a WEB encontra a ARTE Fri, 10 Feb 2012 00:22:33 +0000 hourly 1 http://wordpress.org/?v=3.3.1 Por: Rodrigo Luis http://www.webartz.com.br/php/php-funcao-anti-sql-injection/#comment-2005 Rodrigo Luis Sun, 11 Dec 2011 21:51:46 +0000 http://www.webartz.com.br/?p=287#comment-2005 Olá FranChasing, Bom, em primeiro lugar explique melhor qual o problema que você está tendo para que eu possa entender. Mas de cara já vi que possivelmente você está tendo problemas por usar uma variável simples definida num arquivo de include para tabelas, se quiser usar assim, o ideal seria utilizar CONSTANTES, e outra, variáveis recebidas por POST ou GET para usar em querys no banco devem ser passadas antes numa função de SQL Injection como essa que está disponível aqui no artigo. Olá FranChasing,

Bom, em primeiro lugar explique melhor qual o problema que você está tendo para que eu possa entender.
Mas de cara já vi que possivelmente você está tendo problemas por usar uma variável simples definida num arquivo de include para tabelas, se quiser usar assim, o ideal seria utilizar CONSTANTES, e outra, variáveis recebidas por POST ou GET para usar em querys no banco devem ser passadas antes numa função de SQL Injection como essa que está disponível aqui no artigo.

]]> Por: FranChasing http://www.webartz.com.br/php/php-funcao-anti-sql-injection/#comment-2004 FranChasing Sun, 11 Dec 2011 16:28:00 +0000 http://www.webartz.com.br/?p=287#comment-2004 Olá, galera ! Estou com problemas de sql injection e não estou conseguindo resolver, gostaria de contar com ajuda de vocês ! Por favor, acessem estes dois links e vejam onde aplicar a vacina contra o sql injection. http://www.sindsasc.org/protecao/conexao.txt http://www.sindsasc.org/protecao/exibe_agenda.txt Muito grato !!! Olá, galera !

Estou com problemas de sql injection e não estou conseguindo resolver, gostaria de contar com ajuda de vocês !

Por favor, acessem estes dois links e vejam onde aplicar a vacina contra o sql injection.

http://www.sindsasc.org/protecao/conexao.txt
http://www.sindsasc.org/protecao/exibe_agenda.txt

Muito grato !!!

]]> Por: b http://www.webartz.com.br/php/php-funcao-anti-sql-injection/#comment-1808 b Thu, 07 Apr 2011 12:21:14 +0000 http://www.webartz.com.br/?p=287#comment-1808 Só pra acrescentar aqui. Vocês não precisam chamar esta função cada vez que há um input. Isso dá um trabalho do cão. Utilize um require_once() para incluir a função em todas as páginas do site. Em seguida, basta limpar todo input usando: $_POST = anti_injection($_POST); $_REQUEST = anti_injection($_REQUEST); $_COOKIE = anti_injection($_COOKIE); $_SESSION = anti_injection($_SESSION); Muito mais simples né? Outra coisa interessante é o uso do PDO para manipular a base de dados. Espero ter contribuído. Só pra acrescentar aqui.
Vocês não precisam chamar esta função cada vez que há um input. Isso dá um trabalho do cão.

Utilize um require_once() para incluir a função em todas as páginas do site.

Em seguida, basta limpar todo input usando:

$_POST = anti_injection($_POST);
$_REQUEST = anti_injection($_REQUEST);
$_COOKIE = anti_injection($_COOKIE);
$_SESSION = anti_injection($_SESSION);

Muito mais simples né?
Outra coisa interessante é o uso do PDO para manipular a base de dados.

Espero ter contribuído.

]]> Por: Rodrigo Luis http://www.webartz.com.br/php/php-funcao-anti-sql-injection/#comment-1376 Rodrigo Luis Tue, 11 May 2010 20:19:51 +0000 http://www.webartz.com.br/?p=287#comment-1376 Olá Leandro, Verifique seu código, pois o mesmo tem erros de script, exemplo, tem um while pela metade, sem o resto das especificações, tem a abertura da tag de script php no meio de um script, bem proximos a linha 51 que você reportou o problema. Olá Leandro,
Verifique seu código, pois o mesmo tem erros de script, exemplo, tem um while pela metade, sem o resto das especificações, tem a abertura da tag de script php no meio de um script, bem proximos a linha 51 que você reportou o problema.

]]> Por: leandro http://www.webartz.com.br/php/php-funcao-anti-sql-injection/#comment-1375 leandro Tue, 11 May 2010 19:28:27 +0000 http://www.webartz.com.br/?p=287#comment-1375 rodrigo to usando seu cod anti injection e to recebendo o erro Fatal error: Call to undefined function anti_sql() in C:wampwwwsitioadmverifica.php on line 51 <? function anti_sql($texto){ // Lista de palavras para procurar $check[1] = chr(34); // símbolo " $check[2] = chr(39); // símbolo ' $check[3] = chr(92); // símbolo / $check[4] = chr(96); // símbolo ` $check[5] = "drop table"; $check[6] = "update"; $check[7] = "alter table"; $check[8] = "drop database"; $check[9] = "drop"; $check[10] = "select"; $check[11] = "delete"; $check[12] = "insert"; $check[13] = "alter"; $check[14] = "destroy"; $check[15] = "table"; $check[16] = "database"; $check[17] = "union"; $check[18] = "TABLE_NAME"; $check[19] = "1=1"; $check[20] = 'or 1'; $check[21] = 'exec'; $check[22] = 'INFORMATION_SCHEMA'; $check[23] = 'like'; $check[24] = 'COLUMNS'; $check[25] = 'into'; $check[26] = 'VALUES'; // Cria se as variáveis $y e $x para controle no WHILE que fará a busca e substituição $y = 1; $x = sizeof($check); // Faz-se o WHILE, procurando alguma das palavras especificadas acima, caso encontre alguma delas, este script substituirá por um espaço em branco " ". while($y <?php $apelido = anti_sql($_POST["apelido"]); $senha = anti_sql($_POST["senha"]); $selecao = mysql_query("SELECT * FROM admin WHERE apelido = '$apelido' AND senha = '$senha' ") or die (mysql_error()); $row = mysql_fetch_array($selecao); if ($row == "") { echo "apelido e/ou senha inválidos."; echo ""; echo "Voltar"; exit; } else { session_start(); $_SESSION["apelido"] = $apelido; header ("location:index.php"); } mysql_close($conexao); ?> rodrigo to usando seu cod anti injection e to recebendo o erro Fatal error: Call to undefined function anti_sql() in C:wampwwwsitioadmverifica.php on line 51

<?
function anti_sql($texto){
// Lista de palavras para procurar
$check[1] = chr(34); // símbolo "
$check[2] = chr(39); // símbolo '
$check[3] = chr(92); // símbolo /
$check[4] = chr(96); // símbolo `
$check[5] = "drop table";
$check[6] = "update";
$check[7] = "alter table";
$check[8] = "drop database";
$check[9] = "drop";
$check[10] = "select";
$check[11] = "delete";
$check[12] = "insert";
$check[13] = "alter";
$check[14] = "destroy";
$check[15] = "table";
$check[16] = "database";
$check[17] = "union";
$check[18] = "TABLE_NAME";
$check[19] = "1=1";
$check[20] = 'or 1';
$check[21] = 'exec';
$check[22] = 'INFORMATION_SCHEMA';
$check[23] = 'like';
$check[24] = 'COLUMNS';
$check[25] = 'into';
$check[26] = 'VALUES';

// Cria se as variáveis $y e $x para controle no WHILE que fará a busca e substituição
$y = 1;
$x = sizeof($check);
// Faz-se o WHILE, procurando alguma das palavras especificadas acima, caso encontre alguma delas, este script substituirá por um espaço em branco " ".
while($y

<?php

$apelido = anti_sql($_POST["apelido"]);
$senha = anti_sql($_POST["senha"]);

$selecao = mysql_query("SELECT * FROM admin WHERE apelido = '$apelido' AND senha = '$senha' ") or die (mysql_error());

$row = mysql_fetch_array($selecao);

if ($row == "")
{
echo "apelido e/ou senha inválidos.”;
echo “”;
echo “Voltar”;
exit;
}
else
{
session_start();

$_SESSION["apelido"] = $apelido;

header (“location:index.php”);
}

mysql_close($conexao);
?>

]]> Por: rubson http://www.webartz.com.br/php/php-funcao-anti-sql-injection/#comment-1371 rubson Fri, 07 May 2010 14:03:44 +0000 http://www.webartz.com.br/?p=287#comment-1371 trabalho na area técnica de projeto. alguém usa o qcad ? eu o utilizo a um bom tempo no linux gostaria de trocar impressões. ok. trabalho na area técnica de projeto.
alguém usa o qcad ?
eu o utilizo a um bom tempo no linux
gostaria de trocar impressões.
ok.

]]> Por: Rodrigo Luis http://www.webartz.com.br/php/php-funcao-anti-sql-injection/#comment-1254 Rodrigo Luis Mon, 26 Apr 2010 12:10:47 +0000 http://www.webartz.com.br/?p=287#comment-1254 Parabéns Luiz, Excelente função anti sql-injection. Parabéns Luiz,

Excelente função anti sql-injection.

]]> Por: luiz http://www.webartz.com.br/php/php-funcao-anti-sql-injection/#comment-1253 luiz Mon, 26 Apr 2010 05:01:22 +0000 http://www.webartz.com.br/?p=287#comment-1253 <code> function anti_injection($sql) { // remove palavras que contenham sintaxe sql $sql = preg_replace(sql_regcase("/(from|select|insert|delete|where|drop table|show tables|#|\*|--|\\\\)/"),"",$sql); $sql = trim($sql);//limpa espaços vazio $sql = strip_tags($sql);//tira tags html e php $sql = addslashes($sql);//Adiciona barras invertidas a uma string return $sql; } //modo de usar pegando dados vindos do formulario $nome = anti_injection($_POST["nome"]); $senha = anti_injection($_POST["senha"]); ?> </code>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
function anti_injection($sql)
{
// remove palavras que contenham sintaxe sql
$sql = preg_replace(sql_regcase("/(from|select|insert|delete|where|drop table|show tables|#|\*|--|\\\\)/"),"",$sql);
$sql = trim($sql);//limpa espaços vazio
$sql = strip_tags($sql);//tira tags html e php
$sql = addslashes($sql);//Adiciona barras invertidas a uma string
return $sql;
}

//modo de usar pegando dados vindos do formulario
$nome = anti_injection($_POST["nome"]);
$senha = anti_injection($_POST["senha"]);

?&gt;
]]> Por: Rodrigo Luis http://www.webartz.com.br/php/php-funcao-anti-sql-injection/#comment-463 Rodrigo Luis Mon, 20 Jul 2009 14:17:09 +0000 http://www.webartz.com.br/?p=287#comment-463 Olá Luciano, para utilizar o script, você deve seguir o modelo de exemplo que está no script. Olá Luciano, para utilizar o script, você deve seguir o modelo de exemplo que está no script.

]]> Por: luciano http://www.webartz.com.br/php/php-funcao-anti-sql-injection/#comment-441 luciano Sat, 18 Jul 2009 02:53:14 +0000 http://www.webartz.com.br/?p=287#comment-441 Eu fiz download do arquivo. Agora gostaria de saber como colocar na prática? e que sou inciante em programação para web, e meu site ja foi invadido por sql injection. Eu fiz download do arquivo. Agora gostaria de saber como colocar na prática? e que sou inciante em programação para web, e meu site ja foi invadido por sql injection.

]]>