Categorias

Função para evitar SQL Injection

Função que previne ataque a sites utilizando SQL Injection.

Para quem não sabe SQL Injection é uma falha de programação comumente cometida entre desenvolvedores que estão começando a desenvolver sistemas e não têm uma noção muito boa sobre segurança.

Essa falha permite que o atacante faça login como administrador sem nem saber o nome do usuário ou sua senha, permite que se insiram dados nas tabelas utilizadas pelo site ou até que se delete completamente uma tabela ou banco de dados de um site sem nem mesmo precisar fazer o login.

'CODIGO:
function LimparTexto(str)
str = trim(str)
str = lcase(str)
str = replace(str,"=","")
str = replace(str,"'","")
str = replace(str,"""""","")
str = replace(str," or ","")
str = replace(str," and ","")
str = replace(str,"(","")
str = replace(str,")","")
str = replace(str,"<","[")
str = replace(str,">","]")
str = replace(str,"update","")
str = replace(str,"-shutdown","")
str = replace(str,"--","")
str = replace(str,"'","")
str = replace(str,"#","")
str = replace(str,"$","")
str = replace(str,"%","")
str = replace(str,"¨","")
str = replace(str,"&","")
str = replace(str,"'or'1'='1'","")
str = replace(str,"--","")
str = replace(str,"insert","")
str = replace(str,"drop","")
str = replace(str,"delet","")
str = replace(str,"xp_","")
str = replace(str,"select","")
str = replace(str,"*","")
LimparTexto = str
end function