Comentários sobre: PHP: Função Anti-SQL Injection

Por: Rodrigo Luis

Rodrigo Luis — Tue, 11 May 2010 20:19:51 +0000

Olá Leandro,
Verifique seu código, pois o mesmo tem erros de script, exemplo, tem um while pela metade, sem o resto das especificações, tem a abertura da tag de script php no meio de um script, bem proximos a linha 51 que você reportou o problema.

Por: leandro

leandro — Tue, 11 May 2010 19:28:27 +0000

rodrigo to usando seu cod anti injection e to recebendo o erro Fatal error: Call to undefined function anti_sql() in C:wampwwwsitioadmverifica.php on line 51

function anti_sql($texto){
// Lista de palavras para procurar
$check[1] = chr(34); // símbolo "
$check[2] = chr(39); // símbolo '
$check[3] = chr(92); // símbolo /
$check[4] = chr(96); // símbolo `
$check[5] = "drop table";
$check[6] = "update";
$check[7] = "alter table";
$check[8] = "drop database";
$check[9] = "drop";
$check[10] = "select";
$check[11] = "delete";
$check[12] = "insert";
$check[13] = "alter";
$check[14] = "destroy";
$check[15] = "table";
$check[16] = "database";
$check[17] = "union";
$check[18] = "TABLE_NAME";
$check[19] = "1=1";
$check[20] = 'or 1';
$check[21] = 'exec';
$check[22] = 'INFORMATION_SCHEMA';
$check[23] = 'like';
$check[24] = 'COLUMNS';
$check[25] = 'into';
$check[26] = 'VALUES';

// Cria se as variáveis $y e $x para controle no WHILE que fará a busca e substituição
$y = 1;
$x = sizeof($check);
// Faz-se o WHILE, procurando alguma das palavras especificadas acima, caso encontre alguma delas, este script substituirá por um espaço em branco " ".
while($y

$apelido = anti_sql($_POST["apelido"]);
$senha = anti_sql($_POST["senha"]);

$selecao = mysql_query("SELECT * FROM admin WHERE apelido = '$apelido' AND senha = '$senha' ") or die (mysql_error());

$row = mysql_fetch_array($selecao);

if ($row == "")
{
echo "apelido e/ou senha inválidos.”;
echo “”;
echo “Voltar”;
exit;
}
else
{
session_start();

$_SESSION["apelido"] = $apelido;

header (“location:index.php”);
}

mysql_close($conexao);
?>

Por: rubson

rubson — Fri, 07 May 2010 14:03:44 +0000

trabalho na area técnica de projeto.
alguém usa o qcad ?
eu o utilizo a um bom tempo no linux
gostaria de trocar impressões.
ok.

Por: Rodrigo Luis

Rodrigo Luis — Mon, 26 Apr 2010 12:10:47 +0000

Parabéns Luiz,

Excelente função anti sql-injection.

Por: luiz

luiz — Mon, 26 Apr 2010 05:01:22 +0000

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

function anti_injection($sql)
{
// remove palavras que contenham sintaxe sql
$sql = preg_replace(sql_regcase("/(from|select|insert|delete|where|drop table|show tables|#|\*|--|\\\\)/"),"",$sql);
$sql = trim($sql);//limpa espaços vazio
$sql = strip_tags($sql);//tira tags html e php
$sql = addslashes($sql);//Adiciona barras invertidas a uma string
return $sql;
}

//modo de usar pegando dados vindos do formulario
$nome = anti_injection($_POST["nome"]);
$senha = anti_injection($_POST["senha"]);

?>

Por: Rodrigo Luis

Rodrigo Luis — Mon, 20 Jul 2009 14:17:09 +0000

Olá Luciano, para utilizar o script, você deve seguir o modelo de exemplo que está no script.

Por: luciano

luciano — Sat, 18 Jul 2009 02:53:14 +0000

Eu fiz download do arquivo. Agora gostaria de saber como colocar na prática? e que sou inciante em programação para web, e meu site ja foi invadido por sql injection.

Por: Rodrigo Luis

Rodrigo Luis — Wed, 01 Jul 2009 11:49:41 +0000

Olá Vinicius, já atualizei o link com o arquivo novamente para download. Desculpe este problema, mas foi algo que aconteceu no EasyShare, que era onde o arquivo estava armazenado.

Por: Vinicius

Vinicius — Wed, 01 Jul 2009 10:11:43 +0000

É uma pena que esse arquivo não esteja mais disponivel para download. Será que tem como postar novamente?? Agradeço.

Por: Mayko

Mayko — Thu, 15 May 2008 20:05:00 +0000

É…
Injeção SQL é um caso sério.
Uso uma função aqui há tempos já para proteção, mas vou dar uma conferida nessa!

Ótimo post, vlw!!

[]‘s