Salvando a pele do Programador php - SQL injection
Colaboração: Altemir Braz Dantas Junior
Data de Publicação: 02 de fevereiro de 2011
São poucos os programadores que pensam em "Segurança" quando estão desenvolvendo suas aplicações. Vou passar uma dica que salvará esse programadores rsrsrsr.
Então vamos lá, primeiramente crie um arquivo php contendo as seguintes linhas:
ex: security.php
<?php /* aqui vai varrer todos os REQUEST,POST e GET e jogar o seu valor para função limpa_sqlinjection, e retornar para o proprio REQUEST,POST e GET. */ foreach ($_REQUEST as $index=>$valor){ $_REQUEST[$index] = limpa_sqlinjection($valor); } foreach ($_GET as $index=>$valor){ $_GET[$index] = limpa_sqlinjection($valor); } foreach ($_POST as $index=>$valor){ $_POST[$index] = limpa_sqlinjection($valor); } function limpa_sqlinjection($var){ /* aqui você pode colocar todas as formas de proteção que você ja utiliza para seu banco de dados contra sql injection, vou colocar um exemplo que é a função mysql_real_escape_string */ $var = mysql_real_escape_string($var); // caso nao tenha a function mysql_real_escape_string use a mysql_escape_string return $var; } ?>
Agora é só dar um include desse arquivo na lib principal ou em todos os arquivos php que recebem POST,GET ou REQUEST, assim todas essas formas estarão protegidas mesmo que o programador esqueça de filtrar.