Uso de instruções preparadas para ataque de injeção de SQL (PHP)

Sempre use instruções preparadas para ataques de injeção SQL em vez da consulta SQL normal. A primeira etapa na prevenção de um ataque de injeção de SQL é estabelecer quais (se houver) de seus aplicativos estão vulneráveis.

Você precisa implementar instruções preparadas com consultas parametrizadas. Vamos dar um exemplo:

$cid = $_GET['cid'];

$get_prepare_query = db_prepare_query("select * from ".TABLE_CATEGORIES." where category_id = ?");

$get_prepare_query->bind_param('s', $cid);

$get_category_prepare_result = db_prepare_result($get_prepare_query);

$get_category_result = array_shift($get_category_prepare_result);

if(sizeof($get_category_result) == 0 ) tep_redirect(tep_create_url(''));

$category_id = $get_category_result['category_id'];

Dúvidas? Faça um comentário logo abaixo ou envie uma mensagem clicando aqui.

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *