Sql Injection, Estou seguro?

[Wilson Neto]

Bom dia galera, minha dúvida é, quando estava iniciando em php não tinha conhecimento que nele também existe a classe prepared_statement...

Bom para me previnir de SQL Injection, eu apenas substituia todas as " ' " da string a ser comparada na query por " \' " (Substituindo as aspas simples pela sequencia de escape na query)...

Desta forma eu realmente estava seguro contra sql injection (já que não teria como ninguem brincar com as aspas simples) ???

[Roberto.Korea]

Neto,

O melhor jeito para minimizar os problemas com relação a sql injection, é utilizar uma função do php chamada htmlentites() e pg_escape_string() ou mysql_escape_string();

Dê uma lida na documentação das funções no php.net, pois não sei como lhe explicar direito.

Segue os links:

http://br.php.net/manual/en/function.pg-escape-string.php

http://br.php.net/manual/en/function.htmlentities.php

[Wilson Neto]

Ok, vou ver...

Mas a real dúvida é se existe outra forma de sqlInjection que não dependa ads aspas simples?

pois a forma que conheço (e que realmente pode ser desastrosa para um site grande) é "brincar" com as aspas simples...

Apenas substituindo " ' " por " \' " eu estou seguro???

[Roberto.Korea]

Então Neto,

Nem sempre, pois existem outros recursos que podem ser utilizados para driblar este método.

Já ouvi dizer de hackers que utilizam injeção de hexas em determinados campos, não sei ao certo como funciona.

[Wilson Neto]

Valeu, vou ler sobre mais um pouco sobre o assunto...

Obrigado...