1 reply to this topic

[Emerine]

Estive lendo sobre sistema de login e percebo a necessidade de se tratar os dados antes de criar a query...

Alguma sugestão do que pode ser feito para melhorar a segurança?

Ex:

recebo os campos:

$login = $_POST['login'];$senha = $_POST['senha'];

não devo envia-los direto para minha query certo?

$minha_query = "select * from tabela where login = '$login' and senha = '$senha';

ja li sobre retirar aspas

$varbase = stripslashes($variavel);

converter os dados:

$senha = int($_POST['senha']);

limpar caracteres:

$login = preg_replace('/[^[:alpha:]_]/', '',$_POST['login']);
$resultado = preg_replace('/[^[:alpha:]_]/', '',$login);
$resultado = preg_replace('/[^[:alnum:]_]/', '',$senha);

Qual destes é interessante na hora de tratar dados (login, formulários etc)?

 

Alguma coisa a mais que preciso me atentar?

[diegoguedesm]

Para um tratamento de dados completo utilize a função abaixo.

 

Função:

 

function cleanMe($input) {
$input = mysql_real_escape_string($input);
$input = htmlspecialchars($input, ENT_IGNORE, 'utf-8');
$input = strip_tags($input);
$input = stripslashes($input);
return $input;
}

 

$login = cleanMe($_POST['login']);

$senha = cleanMe($_POST['senha']);

 

$minha_query = "select * from tabela where login = '$login' and senha = '$senha';