Hack Network Brasil

Um dos maiores descuidos dos desenvolvedores de software ocorre ao passar os parâmetros de consultas aos bancos de dados. O SQL Injection é um método usado por Hackes para executar o comando que quiser no banco de dados do sistema, por meio de brechas.

Por exemplo, uma simples consulta aos produtos de um comércio eleterônico pode ser feita da seguinte forma:

$sql = “SELECT * FROM produtos WHERE id_produto = ‘{$_GET['id']}’;”;

Quando o visitante for acessar o endereço “produto.php?id=123″, o SQL gerado será “SELECT * FROM produtos WHERE id_produto = ’123′;”, e o resultado esperado será obtido.

Contudo, se o visitante estiver mal intencionado, ele poderá alterar o endereço no seu navegador para “produto.php?id=123′;DELETE FROM clientes WHERE ’0′=’0″, e o SQL gerado será “SELECT * FROM produtos WHERE id_produto = ’123′;DELETE FROM clientes WHERE ’0′=’0′;”, o que será interfretado pelo canco de dados como 2 comandos diferentes: Um SELECT previsto, e um DELETE que não poderia ser realizado.

Para evitar este problema, é importante utilizar funções de tratamento de string. Cada banco de dados possui a sua própria função. A seguir, segue uma função que faz os devidos tratamentos para cada tipo de variável (descomente o retorno adequado para o seu banco de dados):

function sql($valor){

if(is_bool($valor))

return $valor?”TRUE”:”FALSE”;

else if(is_numeric($valor))

return $valor;

else if(empty($valor)||is_null($valor))

return “NULL”;

if(get_magic_quotes_gpc())

$valor = stripslashes($valor);

// MySQL

//return “‘”.mysql_real_escape_string($valor).”‘”;

// PgSQL

//return “‘”.pg_escape_string($valor).”‘”;

// SQLite

//return “‘”.sqlite_escape_string($valor).”‘”;

}

Com esta função, basta reescrever o seu código da seguinte forma:

$sql = “SELECT * FROM produtos WHERE id_produto = “.sql($_GET['id']).”;”;