Sql Injection

[jissa]

Pior é impossivel?? Da para melhorar??? Ta bom assim???

De der para melhorar ajeitem ele ai..

function replace_meta_chars($string){

return @eregi_replace("([*])|([|])|([;]|([`])","",$string);

}

while(list($keyx,$valuex) = each($_REQUEST)){

if(eregi("([*])|([|])|([;])",$valuex)){

mail("xxxxx@xxxx.xxx","Hack Alerta","SQL Injection hacking attempt. $HTTP_REFERRER $REMOTE_ADDR","FROM:xxxxx@xxxx.xxx,BCC:xxxxx@xxxx.xxx");

}

}

reset ($_REQUEST);

while(list($keyx,$valuex) = each($_REQUEST)){

${$keyx} = replace_meta_chars($valuex);

echo "$keyx $valuex

";

}

[Gladisson]

Para que que você está utilizando isso ?

[Eddie_666]

para evitar que aconteça SQL injection no site dele!

[Gladisson]

Valeu, eu não sabia...

... digamos assim, caso alguém tente fazer algo no site dele, é enviado eum e-mail para ele.

Maneiro.

[jissa]

Oi Gladison.. é isto mesmo ai é so passar a string para a função..

o Eddie tinha me dado um toque ai corri atraz..

o email é frecura.. não precisa disto não.. coloca uma mensagem ou retorna para a mesma tela..

[Felipe_Lopes]

Interessante...

[Rudimar]

O que é esta historia de SQL injection??

[John Doe]

Vamos dizer que você tem um site usando query string.

E essa query string acessa diretamente uma query para o mysql. Exemplo:

pagina.php?login=seu login&senha=sua senha

O cara pega esse dado e faz uma SQL, exemplo:

$ssss = "SELECT * FROM usuarios WHERE login='$login' AND senha='$senha'"

Certo ? Mas há alguns modos de "zuar" com isso. Exemplo:

O cara vai lá e digita :

pagina.php?login=&senha=' OR 1=1

Ele vai ganhar acesso grátis à sua página. Entendeu ??

Abraços

[Rudimar]

Mas onde o cara vai inserir o codigo que voce deu como exemplo??

$ssss = "SELECT * FROM usuarios WHERE login='$login' AND senha='$senha'"

Como ele faz isto??

Desculpa aí, mas é que não entendo nada de hackeranismo...

[Xandão Grunge]

O cara pode tanto inserir este código em um campo de formulário como na barra de endereços do navegador.

Isso é sério mesmo.