Cea mai simpla si rapida metoda de protectie impotriva ‘SQL Injection’
Salutare tuturor!
Recent am avut o problema cu „SQL Injection” si am decis sa prezint modalitatea de rezolvare pe care am ales sa o utilizez eu.
Fiind un script destul de vechi, si cu multe fisiere si foarte multe linii de cod, a trebuit sa gasesc o modalitate mai simpla de rezolvare pentru a evita modificarea fiecarei linii ce contine o secventa de cod sql.
Avand in vedere ca singurele cai de injectare SQL erau variabilele $_POST si $_GET am decis sa folosesc cea mai simpla metoda, prin simpla adaugare a acestui cod PHP la inceputul tuturor fisierelor cu secvente de cod sql:
1 2 3 4 5 6 7 8 9 10 |
foreach ($_POST as $cheie => $valoare) { $valoare = str_replace('"', """, $valoare); $valoare = str_replace("'", "'", $valoare); $_POST[$cheie] = $valoare; } foreach ($_GET as $cheie => $valoare) { $valoare = str_replace('"', """, $valoare); $valoare = str_replace("'", "'", $valoare); $_GET[$cheie] = $valoare; } |
Aceasta modalitate este cea mai simpla, si in acelasi timp, o modalitate care o consider destul de eficienta. Sper sa fie de ajutor si celorlalti!
Asta a fost tot! Va doresc o zi frumoasa si ne vedem data viitoare 🙂