Nos Ultimos tempos, o tipo de ataque mais comum entre hackers malvados, é a terrível sql injection. Em Que o hacker injeta um código malicioso no site,sistema(…), e consegui explorar o site, e conseguir diversas informações no site.
Os administradores de sites hoje em dia não estão si preocupando tanto quanto deveriam com a questão de segurança. Alguns, não é porque não si preocupam e sim porque não dão conta de si proteger contra estes ataques.
Então este que é o meu propósito hoje. É ensinar as pessoas si precaverem do pior, que pode acontecer.
Esse código é muito simples para quem conhece alguma coisa de php.
Código php:
<?php
//si cod que vou pegar via post nao for numero, entao manda para uma pagina de error; caso o link der erro entao da em exit na pagina
if(!is_numeric($_POST['cod']){
header(“location:error.php”);
exit;
}else{//caso contrario o codigo for numero entao pega o cod via post
$cod =$_POST['cod'];
}
if((isset($_POST['nome']) && ($_POST['nome']==”")){//si existe um post chamado nome e neste post nao estiver nada nele, entao da erro
header(“location:error.php”);
exit;
}
//Aqui vamos comecar a segurança do site, nao podera entrar nenhum caracter especial via post, assim bloquiará os ataques de sqlinjection
//a funcao str_replace, é para substituir caracteres de alguma coisa
$nome =$_POST['nome'];
$nome =str_replace(“‘”,”", $nome);
$nome =str_replace(“+”,”",$nome);
$nome =str_replace(“@”,”",$nome);
$nome =str_replace(“(“,”",$nome);
$nome =str_replace(“)”,”",$nome);
$nome =str_replace(“&”,”",$nome);
$nome =str_replace(“=”,”",$nome);
$nome =str_replace(“!”,”",$nome);
$nome =str_replace(“#”,”",$nome);
$nome =str_replace(“%”,”",$nome);
$nome =str_replace(“*”,”",$nome);
$nome =str_replace(“.”,”",$nome);
$nome =str_replace(“,”,”",$nome);
//Aqui podemos selecionar o banco de forma nomal, sem precisar de medo desta query
mysql_select_db($database_local, $local);
$query_rr = sprintf(“SELECT cod, nome, descricao, codigo FROM postss WHERE cod=’$cod’ and where nome=’$nome’”);
//acima eu selecionei cod,nome,descricao e o codigo da tabela postss em que o cod seja igual ao que nos pegamos via post, e o nome seja //igual ao que nos pegamos via post
$rr = mysql_query($query_rr, $local) or die(mysql_error());
$row_rr = mysql_fetch_assoc($rr);
?>
Conclusão
Esse código foi para mostrar para os administradores de sites que dependendo do assunto, é “fácil si proteger”(Entre aspas, é claro).
Obs.: SI alguém não entender nada deste código, faça as perguntas aqui.
0 comentários: sobre como evitar sql injection,como previnir contra sqlinjection,como bloquiar sqlinjection no site,dificultar sql injection
Postar um comentário para como evitar sql injection,como previnir contra sqlinjection,como bloquiar sqlinjection no site,dificultar sql injection: