Anti Inject Sql

[baladaclick]

alguém tem o codigo ai p me passar?

[Guest Visitante]

Uma técnica que uso é?

Nunca colocar valor de uma variavel dentro de uma consulta sql:

$sql = "SELECT * FROM tabela WHERE login='$login' AND pass='$senha'";

Utilize:

$sql = "SELECT * FROM tabela";

$result = mysql_query($sql);

$dados = mysql_fetch_array($result);

Depois compare as variaveis:

<?php

if(!strcmp($login,$dados["login"]) && !strcmp($senha,$dados["pass"])) {

echo "Executa o resto do código";

}

else {

//cancela o código e redireciona p/ alguma página...

exit;

}

?>

é bom lembrar que depende que tipo de consulta você irá utilizar. Algumas consultas você deverá escapar as strings (com mysql_escape_string por exemplo)

[baladaclick]

valeu irmao

[baladaclick]

está ai p quem precisar do anti_injection

function anti_injection($sql)
      {
     $seg = preg_replace(sql_regcase("/(from|select|insert|delete|where|drop table|show tables|#|\*|--|\\\\)/"),"",$sql); //remove palavras que contenham a sintaxe sql
     $seg = trim($seg); //limpa espaços vazios
     $seg = strip_tags($seg); // tira tags html e php
     $seg = addslashes($seg); //adiciona barras invertidas a uma string
     return $seg;
      }

[gladiador]

/* lembrando que isso

Uma técnica que uso é?
Nunca colocar valor de uma variavel dentro de uma consulta sql:

não tem nada haver com limitação sql injection, mas sim um tratamento como o baladaclick colocou, ou seja, nada mais do que proibição de caracteres para facilitaçao do SI */