Sql Injection

JohnTortugo
(usa Slackware)

Enviado em 14/05/2008 - 10:16h

Galera, bom dia.

Estou utilizando PHP 4 com SQL Server. Um usuário sem privilégio está injetando código sql dentro da minha aplicação, porém a diretiva magic_quotes_gpc está ativada, vejo que ela funciona no caso do usuário entrar com um ' (apostófro), mas o individuo neste caso está inserindo um %27, que é o URLEncode do caractere citado.

Alguém poderia me dar uma luz em como resolver esta situação? O magic_quotes do PHP não deveria contonar isso também???


Abraço, John.

engos
(usa openSUSE)

Enviado em 28/05/2008 - 16:13h

SQL Injection, Cross Side Script, Hijack Session etc, são tipos de ataques por falha na APLICAÇÃO, NUNCA o PHP ou qualquer outra linguagem vai "resolver" esse problema.

Pelo que entendi seu erro é passar o conteudo de um formulário direto para o comando de SQL, sendo que isso JAMAIS deve ser feito sem antes passar por um tratamento e validação.

TUDO que vem de um form DEVE ser tratado antes de ser processado, por mais boba e inutil que seja a informação, mesmo que "já tenha sido validada" pelo javascript na ponta cliente.