quarta-feira, 4 de maio de 2016

PHP - Crie sua própria função contra SQL Injection

Existem várias formas de se proteger contra SQL Injection, mas que tal criar sua própria função para isso. vamos lá?

1 - Estabeleça o nome para função, no exemplo chamarei de protecao:
    function protecao () {}

2 - Chame uma variável string para colocar a string a ser protegida.
    function protecao ($string) {}

3 - Defina dentro da função com um array os caracteres perigosos.
    function protecao ($string) {
        $caracteres = array(";","\\","''","``",);
    }

4 - Dentro da função substitua os caracteres perigosos com um caractere que desejar, no nosso exemplo 'X':
    function protecao ($string) {
        $caracteres = array(";","\\","''","``",);
        $string_seg = str_replace ($caracteres, "X", $string);
    }

5 - Agora adicione o retorno e temos a função completa:
    function protecao ($string) {
        $caracteres = array(";","\\","''","``",);
        $string_seg = str_replace ($caracteres, "X", $string);
       return $string_seg;
    }

Pronto, agora coloque as strings que deseja proteger para chamar o SQL dentro da função protecao().
Todos os caracteres perigosos serão substituídos por X.
Exemplo de uso.
 "INSERT INTO tabela ('coluna') values ('"..protecao($_POST['value'])"')"
   
Postar um comentário