SQL Injection e as funções de escape no php

“A maioria das técnicas para tratamento de SQL Injection fazem referência a funções de escape ou o popular magic_quotes do php, porém poucos devem saber que estas técnicas são ineficazes para evitar este tipo de ataque. A simples adição de uma barra invertida (” \ “) em uma string que contenha um apóstrofo (” ‘ “) não irá eliminar a possibilidade de exploração de ataques baseados em SQL Injection. (…)”

Enviado por Wagner Elias (weliasΘconviso·com·br) – referência (wagnerelias.com).

• Publicado por Augusto Campos em 2/12/2008 às 12:00 pm
• Link direto para este post: http://br-l.org/!6312
• Siga no Twitter: @brlinuxblog e @augustocc
• Mais posts do mesmo tema: Desenvolvedores

Comentários dos leitores para “SQL Injection e as funções de escape no php”

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Em algumas notícias os comentários são exibidos de forma paginada, com links abaixo do formulário de inserção de novo comentário. Leia os Termos de uso do BR-Linux.

João Marcus (usuário não registrado) em 2/12/2008 às 1:22 pm

Caramba, pessoal, será que é tão difícil utilizar prepared statements? Elas ELIMINAM o problema de SQL Injection.

Modere: [+] [-] [fora do tema ou repetitivo] [desinformação] [troll/flame] [generalização ofensiva]
amg1127 (usuário não registrado) em 2/12/2008 às 2:45 pm

Pergunta: existe alguma vulnerabilidade na função mysql_real_escape_string()?

$data = $_POST['user_input']; if (! ($conn = mysql_connect ())) die ("wtf?"); $query = "INSERT INTO table (field) VALUES ('" . mysql_real_escape_string ($data, $conn) . "');"; mysql_query ($query, $conn);

Modere: [+] [-] [fora do tema ou repetitivo] [desinformação] [troll/flame] [generalização ofensiva]
Rafael (usuário não registrado) em 2/12/2008 às 4:19 pm

Fazer um site seguro é um trabalho.

Modere: [+] [-] [fora do tema ou repetitivo] [desinformação] [troll/flame] [generalização ofensiva]

O prazo para comentar neste post já expirou - visite a capa do site para posts mais recentes.

BR-Linux.org: Linux® levado a sério desde 1996. Notícias, dicas e tutoriais em bom português sobre Linux e Código Aberto. "A página sobre software livre mais procurada no Brasil", segundo a Revista Isto É.

Expediente: Sobre o BR-Linux; Enviar notícia ou release; Contato, Termos de uso; FAQ, Newsletter, RSS; Banners e selos; Anunciar no BR-Linux

BR-Linux apóia: LinuxSecurity, Tempo Real; Verdade Absoluta; Pandemonium; Efetividade, Floripa.net; sites da comunidade

Ajuda: Moderação; Flames: não responda!; Publicar seu texto; Notícias pré-2004; Tutoriais, HCL pré-2004

Linux (R) é marca registrada de Linus Torvalds. Os direitos autorais de todas as ilustrações pertencem aos respectivos autores, e elas são reproduzidas na intenção de atender ao disposto no art. 46 da Lei 9.610 - se ainda assim alguma delas infringe direito seu, entre em contato para que possamos removê-la imediatamente. O conteúdo textual original desta página está disponível sob a licença GNU FDL 1.2. Leia os Termos de Uso para saber mais detalhes - inclusive sobre a política em relação aos comentários dos leitores.

O que é Linux • Download Linux • Apostila Linux • Enviar notícia

BR-Linux.org

SQL Injection e as funções de escape no php

Leia também outros posts recentes do BR-Linux:

Comentários dos leitores para “SQL Injection e as funções de escape no php”

Pesquisar

Em discussão

Twitter e RSS

Meta

Destaques

Anteriores

BR-Linux apóia:

Licenciamento

BR-Mac.org

Efetividade.net