{"id":8319,"date":"2015-12-10T15:53:38","date_gmt":"2015-12-10T18:53:38","guid":{"rendered":"http:\/\/www.impacta.com.br\/blog\/?p=8319"},"modified":"2015-12-10T15:53:38","modified_gmt":"2015-12-10T18:53:38","slug":"como-prevenir-injecao-de-codigo-sql-no-meu-codigo-php","status":"publish","type":"post","link":"https:\/\/www.impacta.com.br\/blog\/como-prevenir-injecao-de-codigo-sql-no-meu-codigo-php\/","title":{"rendered":"Como prevenir inje\u00e7\u00e3o de c\u00f3digo SQL no meu c\u00f3digo PHP"},"content":{"rendered":"

A inje\u00e7\u00e3o de c\u00f3digo SQL \u00e9 um problema bastante conhecido atualmente, consiste na inser\u00e7\u00e3o de c\u00f3digos da linguagem SQL<\/strong><\/a> diretamente nos formul\u00e1rios e outros campos de uma p\u00e1gina da web. Essa pr\u00e1tica maliciosa tem como objetivo obter ou deletar informa\u00e7\u00f5es dos bancos de dados. Confira a seguir algumas orienta\u00e7\u00f5es que voc\u00ea dever\u00e1 seguir para prevenir a inje\u00e7\u00e3o de c\u00f3digo SQL no PHP.<\/p>\n

\"Saiba<\/a><\/p>\n

Como ocorre a inje\u00e7\u00e3o de c\u00f3digo SQL<\/strong><\/span><\/h2>\n

A inje\u00e7\u00e3o por c\u00f3digo SQL ocorre quando existem falhas de seguran\u00e7a na sua p\u00e1gina PHP<\/strong>. Dentre as principais vulnerabilidades, a mais tradicional \u00e9 quando o c\u00f3digo\u00a0concatena um valor inserido pelo usu\u00e1rio com uma consulta para o banco de dados.<\/p>\n

Imagine que existe um campo de pesquisa onde o usu\u00e1rio dever\u00e1 digitar um nome, mas, ao inv\u00e9s disso, o usu\u00e1rio mal-intencionado digita o seguinte comando SQL, \u201cSELECT * FROM users; –\u201d, diretamente no campo. Caso ele esteja com um super usu\u00e1rio e exista uma tabela com o nome de \u201cusers\u201d no seu banco de dados, ap\u00f3s a concatena\u00e7\u00e3o do que ele digitou com a do seu c\u00f3digo, ele obter\u00e1 acesso \u00e0s informa\u00e7\u00f5es dos usu\u00e1rios do seu banco de dados. Para se prevenir desse tipo de problema \u00e9 necess\u00e1rio ficar atento e tomar alguns cuidados.<\/p>\n

Personalize os usu\u00e1rios<\/strong><\/span><\/h2>\n

Nunca conecte a sua aplica\u00e7\u00e3o ao banco de dados como \u201csuper usu\u00e1rio\u201d ou \u201cdono do banco de dados\u201d. Esses dois usu\u00e1rios possuem privil\u00e9gios muito elevados de seguran\u00e7a, muitas vezes possuem acesso a todas as tabelas, al\u00e9m de poderem fazer quaisquer modifica\u00e7\u00f5es no banco.<\/p>\n

A melhor op\u00e7\u00e3o \u00e9 criar usu\u00e1rios personalizados e dar a eles apenas os privil\u00e9gios necess\u00e1rios para executar as opera\u00e7\u00f5es que voc\u00ea definir\u00e1 no seu c\u00f3digo PHP. Al\u00e9m de evitar que sejam acessados dados sem permiss\u00e3o, essa personaliza\u00e7\u00e3o de usu\u00e1rios ajudar\u00e1 na organiza\u00e7\u00e3o do seu sistema.<\/p>\n

Verifique os tipos de dados<\/strong><\/span><\/h2>\n

Se voc\u00ea est\u00e1 esperando receber um n\u00famero do usu\u00e1rio, verifique se o conte\u00fado que foi preenchido no campo \u00e9 realmente um n\u00famero, antes de manipular esse conte\u00fado com SQL. Na linguagem PHP<\/a> existem diversas fun\u00e7\u00f5es para validar o tipo dos valores, como por exemplo a fun\u00e7\u00e3o \u201cis_numeric()\u201d, que verifica se o valor \u00e9 um n\u00famero ou n\u00e3o. Al\u00e9m do tipo, voc\u00ea tamb\u00e9m pode limitar e verificar o tamanho do valor do campo para evitar que sejam inseridos c\u00f3digos mal-intencionados.<\/p>\n

Tenha cuidado com a concatena\u00e7\u00e3o<\/strong><\/span><\/h2>\n

Ao concatenar a entrada do usu\u00e1rio diretamente com a sintaxe do seu comando SQL, voc\u00ea estar\u00e1 fornecendo uma abertura para a inje\u00e7\u00e3o de SQL na sua p\u00e1gina, essa \u00e9 a maneira mais comum de acontecerem ataques. O ideal \u00e9 sempre verificar se o usu\u00e1rio realmente preencheu os campos conforme o esperado, e n\u00e3o fazer uma adi\u00e7\u00e3o direta do que ele digitou com o banco de dados, essa verifica\u00e7\u00e3o vai prevenir bastante a sua p\u00e1gina contra a inje\u00e7\u00e3o SQL.<\/p>\n

N\u00e3o divulgue informa\u00e7\u00f5es desnecess\u00e1rias<\/strong><\/span><\/h2>\n

Muitas vezes, os relat\u00f3rios de erros e exce\u00e7\u00f5es que ocorrem no sistema fornecem informa\u00e7\u00f5es espec\u00edficas que n\u00e3o devem ser mostradas ao usu\u00e1rio\u00a0como, por exemplo, nome de tabelas ou usu\u00e1rios do banco, que quando fornecidas a pessoas mal-intencionadas, podem aumentar o risco de ataques por inje\u00e7\u00e3o de SQL.<\/p>\n

Todas essas orienta\u00e7\u00f5es anteriores s\u00e3o extremamente importantes para que sua p\u00e1gina fique menos vulner\u00e1vel a ataques por inje\u00e7\u00e3o de c\u00f3digo SQL. Muitas vezes, s\u00e3o solu\u00e7\u00f5es simples, mas que t\u00eam a capacidade de evitar problemas s\u00e9rios de seguran\u00e7a.<\/p>\n

E voc\u00ea, gostou das dicas para prevenir os ataques por inje\u00e7\u00e3o de c\u00f3digo SQL? Conte para a gente a sua opini\u00e3o sobre o tema!<\/p>\n

Quer ser um especialista nas linguagens de programa\u00e7\u00e3o mais utilizadas no mercado?<\/span><\/strong><\/h2>\n

A Impacta \u00e9 o maior e melhor centro de treinamentos da Am\u00e9rica Latina e oferece diversos cursos de desenvolvimento<\/a>, como na linguagem SQL <\/a>e PHP<\/a>. Todos preparam o aluno para as t\u00e9cnicas mais modernas de programa\u00e7\u00e3o, al\u00e9m de oferecerem \u00f3timas oportunidades de networking e crescimento profissional.<\/p>\n

<\/i>Love<\/span>0<\/span><\/span><\/a> <\/i> <\/i>