Comments on: PHP e SQL Injection

By: Nando Vieira

Nando Vieira — Thu, 09 Nov 2006 11:50:01 +0000

João: ela é bem genérica, visto que não necessariamente quero matar as tags ou retirar todos os espaços. No caso do GPC, você está supondo que o $dado veio através de POST, COOKIE ou GET. Na expressão regular, você pode matar algo como "-- texto --" que no markdown é substituído por — teste —. Mas se você não cai em nenhum dos casos que falei, serve muito bem.

By: João

João — Wed, 08 Nov 2006 17:47:38 +0000

Olá Nando, o que acha disso?

function antiSqlInje($dado) {

$dado = strip_tags($dado);
$dado = trim($dado);
$dado = get_magic_quotes_gpc() == 0 ? addslashes($dado) : $dado;
$dado = preg_replace("@(--|\#|;)@s", "", $dado);
return $dado;
}

é funcional?

By: Nando Vieira

Nando Vieira — Wed, 08 Nov 2006 16:55:18 +0000

Fernando: no caso das versões inferiores você pode usar a função mysql_escape_string, apesar de obsoleta. A segunda parte do artigo de extensões já está sendo escrito!

By: Gean

Gean — Wed, 08 Nov 2006 15:23:32 +0000

Excelente dica para os programadores menos precavidos.

Eu sempre usei uma outra rotina parecida com essa sua, mas acabei perdendo, mas já guardei essa sua na manga, sempre é bom ter essas coisas por perto qdo se está nesse mundo.

Obrigado,

Gean.

By: Fernando Bittencourt

Fernando Bittencourt — Tue, 07 Nov 2006 23:39:21 +0000

A idéia, em si, é boa, mas não funcionará em versões do PHP inferiores a 4.3. Em todo caso, é possível criar funções do tipo "eh_um_numero_de_verdade()" e "eh_string_mesmo()", hehe, obviamente não com esses nomes esdrúxulos. Apesar de mais simples, é uma forma de garantir que, de onde deve vir um número, não venha uma string maliciosa, por exemplo.
A propósito, belo blog! Estou esperando a parte 2 do post sobre as extensões do Firefox.

Um abraço.