Anti injection

[vini_loock]

Olá,

estou fazendo uma classe para trabalhar de forma mais fácil com banco de dados.

Dei uma pesquisada nas funções anti injection, mas elas não permitem algumas palavras, eu pensava que se eu transformasse qualquer valor em string já resolveria.

Agora estou em dúvida, se eu manter um padrão assim:

SELECT * FROM campo = 'valor'

Onde todos os valores vão estar entre aspas simples, e para validar essa string, eu trocaria as aspas simples(') por \'

Isso seria o suficiente?

[ESerra]

Implemente a sua classe usando PDO, pronto.

[MTavares]

Uma dica:

mysql_query(sprintf("SELECT * FROM campo = '%s'",mysql_escape_string($campo));

Dá uma olhada:

http://php.net/manual/pt_BR/security.datab...l-injection.php

abs

[Willian Gustavo Veiga]

Mais um voto para PDO.

[vini_loock]

Então.. eu já até pensei em usar PDO, mas nunca a usei e vi que é um pouco complicado e eu tenho que ter esse e outros códigos prontos na quarta-feira, então ficaria inviável eu estudar alguma coisa do PDO e desenvolver uma classe em cima dela;

Pretendo que seja de uso fácil, um exemplo seria:

<?php
$db = new Database();
$db->query("SELECT * FROM table campo = '$1'", $valor);
while($db->fetch()){
...
}

Já havia escrito uma classe semelhante, mas ela não tem a função anti inject, porque era coisa bem básica, agora estou reescrevendo de uma forma mais segura, o problema é que eu não poderia bloquear palavras como where, tava pensado em escapar as aspas e só. Existe algum problema de fazer algo como:

$str = str_replace("'", '\'', $str);

$db->query("SELECT * FROM table WHERE campo = '$1'", $str);

[MTavares]

Em suas querys use o sprintf e como parâmetro use o mysql_escape_string, conforme passado acima.. Dessa forma evitará o Sql Injection.

[ESerra]

tava pensado em escapar as aspas e só.

Nem todo sql injection usa aspas...

Posta a função que você pensa em usar na totalidade...

[vini_loock]

private function string_anti_inject($str){
            return (string) str_replace(array('"', "'"), array("\"", '\''), $str));
        }

Nem todo sql injection usa aspas...

Mas como assi?

Se não usar aspas, o valor não continuará sendo tratado como string?

Editado Novembro 13, 2011 por vini_loock

[MTavares]

Colega, você chegou a ler o link que te mandei? basta você colocar na sua query o mysql_escape_string. Veja abaixo:

http://php.net/manual/pt_BR/function.mysql-escape-string.php

[vini_loock]

Não adianta muito, porque ela não faz mais parte do php e ela simplesmente escapa a string, o mesmo que eu fiz na minha função.

O que eu quero saber, é se pode ser feita uma injection, mesmo eu transformando isso em uma string, colocando-a entre aspas simples e escapando todas as aspas e apóstrofos??

Editado Novembro 13, 2011 por vini_loock

[vini_loock]

O problema na verdade é que eu não to conseguindo reproduzir uma injection para poder ver de perto como que funciona.

[Willian Gustavo Veiga]

Pesquisou em algum site de buscas?

Leu o manual?

Um abraço.