Protegendo um site - Parte 1: SQL Injection
Página 1 de 1
Protegendo um site - Parte 1: SQL Injection
iMonstro Sáb Jul 28, 2012 7:19 am
Olá,
Primeiramente vou me apresentar:
Sou Guilherme, meu nome o xat é Gui.php e estarei agora aqui na ScriptDefenders como postador.
Tenho conhecimento em PHP, XML/HTML(e sublinguagens: Javascript e CSS), SQL, YML, Java e um pouco de ASP, Entre outras.
Hoje irei ensinar como previnir no seu site/blog SQL Injection em PHP.
Já tentou ver se seu blog/site tem alguma falha? É só colocar um caractere diferente do que precisa. Exemplo:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Se deu algum erro, sim, dá pra resolver e é facinho!
Na página onde tem o GET id é só adicionar (int) antes da variavel.
Exemplo:
$sql = "SELECT * FROM tabela WHERE id = ".$_GET['id'];
para
$sql = "SELECT * FROM tabela WHERE id = ".(int)$_GET['id'];
Outra coisa fácil também, é colocar no comecinho da sua página o (int).
Exemplo:
$_GET['id'] = (int)$_GET['id'];
--------- Sabendo mais ----------
Caso não saiba, INT é a abreviação de Integer, que significa Numero Inteiro.
Espero que tenham entendido.
Dúvidas? Me procure no xat
~ Gui.php
Primeiramente vou me apresentar:
Sou Guilherme, meu nome o xat é Gui.php e estarei agora aqui na ScriptDefenders como postador.
Tenho conhecimento em PHP, XML/HTML(e sublinguagens: Javascript e CSS), SQL, YML, Java e um pouco de ASP, Entre outras.
Hoje irei ensinar como previnir no seu site/blog SQL Injection em PHP.
Já tentou ver se seu blog/site tem alguma falha? É só colocar um caractere diferente do que precisa. Exemplo:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Se deu algum erro, sim, dá pra resolver e é facinho!
Na página onde tem o GET id é só adicionar (int) antes da variavel.
Exemplo:
$sql = "SELECT * FROM tabela WHERE id = ".$_GET['id'];
para
$sql = "SELECT * FROM tabela WHERE id = ".(int)$_GET['id'];
Outra coisa fácil também, é colocar no comecinho da sua página o (int).
Exemplo:
$_GET['id'] = (int)$_GET['id'];
--------- Sabendo mais ----------
Caso não saiba, INT é a abreviação de Integer, que significa Numero Inteiro.
Espero que tenham entendido.
Dúvidas? Me procure no xat
~ Gui.php
iMonstro- Mensagens : 10
Data de inscrição : 27/07/2012
Idade : 34
Localização : Guarulhos -
Página 1 de 1
Permissões neste sub-fórum
Não podes responder a tópicos