SQL Injection - URL

Bergamaschi. · 1 de fevereiro de 2013

Qual a melhor maneira de prevenir SQL Injection nas URL's?

Não quero usar mysql_real_escape_string() pois ela vai ser/foi deprecated em alguma atualização do PHP.

Nos campos de texto, estou prevenindo usando htmlspecialchars();

Obrigado.

Matheus Afonso · 11 de fevereiro de 2013

Olá.

Nos meus projetos, sempre faço minhas próprias funções de segurança pois acho que são as que eu mais confio.. de acordo com os mais variados testes que eu faço

mas se nas URLS por exemplo noticia.php?id=1234 geralmente nesse tipo só deixo passar se for NÚMEROS INTEIROS e dentro do meu PHP eu mesmo faço uma função para verificar se os números são inteiros, se está pegando letras etc..

Eu gasto mais tempo programando uma função de segurança pois não terei dor de cabeça depois né ? é melhor prevenir ..

Bergamaschi. · 15 de fevereiro de 2013

Sim, fazer sua própria função é o mais adequado.

Mas por favor, abra a minha mente. Diga teoricamente como posso prevenir quando for números e letras na URL. Apenas verifico se existe outros caracteres diferentes de letra/numero?

Bergamaschi. · 15 de fevereiro de 2013

Sim, fazer sua própria função é o mais adequado.

Mas por favor, abra a minha mente. Diga teoricamente como posso prevenir quando for números e letras na URL. Apenas verifico se existe outros caracteres diferentes de letra/numero?