Comments on: SQL Injection e as funções de escape no php http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/ BCP, BIA, DRP, Security Assessment, Risk Assessment, Security Developer Wed, 05 Oct 2011 13:05:28 +0000 hourly 1 By: Kaspesky http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-1209 Kaspesky Wed, 23 Feb 2011 18:49:00 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-1209 Caro Goran, Você precisa ponderar mais entes de postar, ou irá ficar como cachorro de lanchonet "pensando que todo sabua que sai é pra ele". SQL Injection é uma coisa e SQL Interpretação é outra. vlw<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('1209','Kaspesky'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('1209','Kaspesky','Caro Goran,\r\n\r\nVocê precisa ponderar mais entes de postar, ou irá ficar como cachorro de lanchonet \"pensando que todo sabua que sai é pra ele\".\r\n\r\nSQL Injection é uma coisa e SQL Interpretação é outra.\r\n\r\nvlw'); return false;">Quote</a></div> Caro Goran,

Você precisa ponderar mais entes de postar, ou irá ficar como cachorro de lanchonet “pensando que todo sabua que sai é pra ele”.

SQL Injection é uma coisa e SQL Interpretação é outra.

vlw

ReplyQuote
]]> By: diego fonseca http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-1175 diego fonseca Thu, 23 Dec 2010 10:54:16 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-1175 Gostei muito do post serviu para tirar muitas duvidas sobre o sql injection!<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('1175','diego fonseca'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('1175','diego fonseca','Gostei muito do post serviu para tirar muitas duvidas sobre o sql injection!'); return false;">Quote</a></div> Gostei muito do post serviu para tirar muitas duvidas sobre o sql injection!
ReplyQuote
]]> By: diego fonseca http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-1174 diego fonseca Thu, 23 Dec 2010 10:52:26 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-1174 Gostei muito do post ele abriu meus olhos para algumas coisa que eu ainda não tinha percebido! obrigado!<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('1174','diego fonseca'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('1174','diego fonseca','Gostei muito do post ele abriu meus olhos para algumas coisa que eu ainda não tinha percebido!\r\n\r\nobrigado!'); return false;">Quote</a></div> Gostei muito do post ele abriu meus olhos para algumas coisa que eu ainda não tinha percebido!

obrigado!

ReplyQuote
]]> By: Elias Wagner http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-1123 Elias Wagner Fri, 24 Sep 2010 17:12:32 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-1123 O post realmente não deve estar bem escrito, pois você não entendeu nada. O post tem o propósito falar sobre o bypass de magic_quotes e não sobre tipos em query SQL. Bom, mas pelo jeito você sabe muito. Não vou me estender tentando argumentar. A propósito, algum problema com o seu nome?<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('1123','Elias Wagner'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('1123','Elias Wagner','O post realmente não deve estar bem escrito, pois você não entendeu nada.\n\nO post tem o propósito falar sobre o bypass de magic_quotes e não sobre tipos em query SQL. Bom, mas pelo jeito você sabe muito. Não vou me estender tentando argumentar.\n\nA propósito, algum problema com o seu nome?'); return false;">Quote</a></div> O post realmente não deve estar bem escrito, pois você não entendeu nada.

O post tem o propósito falar sobre o bypass de magic_quotes e não sobre tipos em query SQL. Bom, mas pelo jeito você sabe muito. Não vou me estender tentando argumentar.

A propósito, algum problema com o seu nome?

ReplyQuote
]]> By: Goran Ivanisevic http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-1122 Goran Ivanisevic Fri, 24 Sep 2010 16:57:12 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-1122 Horrível este post, a argumentação não tem nem pé nem cabeça. Pois, tem que ser muito doente para nem ao menos colocar entre aspas simples uma string. O SQL não vai rodar nas consultas "normais" !!!! select abcdef ---- Simplesmente não roda e mais se está sem aspas simples, porque não fazer direto? select (drop table xyz) se estiver entre aspas simples não vai adiantar nada usar char select 'char(39)' --- Resultado: char(39) péssimo post só fez eu perder o meu tempo... Aconselho a estudar representação de tipos(string, inteiro, ponto flutuante, boolean...) porque o problema é que o autor não sabe commo se representa uma string dentro de uma consulta SQL ...<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('1122','Goran Ivanisevic'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('1122','Goran Ivanisevic','Horrível este post, a argumentação não tem nem pé nem cabeça. Pois, tem que ser muito doente para nem ao menos colocar entre aspas simples uma string. O SQL não vai rodar nas consultas \"normais\" !!!!\r\nselect abcdef ---- Simplesmente não roda\r\ne mais se está sem aspas simples, porque não fazer direto?\r\nselect (drop table xyz)\r\nse estiver entre aspas simples não vai adiantar nada usar char\r\nselect \'char(39)\' --- Resultado: char(39)\r\npéssimo post só fez eu perder o meu tempo...\r\n\r\nAconselho a estudar representação de tipos(string, inteiro, ponto flutuante, boolean...) porque o problema é que o autor não sabe commo se representa uma string dentro de uma consulta SQL ...'); return false;">Quote</a></div> Horrível este post, a argumentação não tem nem pé nem cabeça. Pois, tem que ser muito doente para nem ao menos colocar entre aspas simples uma string. O SQL não vai rodar nas consultas “normais” !!!!
select abcdef —- Simplesmente não roda
e mais se está sem aspas simples, porque não fazer direto?
select (drop table xyz)
se estiver entre aspas simples não vai adiantar nada usar char
select ‘char(39)’ — Resultado: char(39)
péssimo post só fez eu perder o meu tempo…

Aconselho a estudar representação de tipos(string, inteiro, ponto flutuante, boolean…) porque o problema é que o autor não sabe commo se representa uma string dentro de uma consulta SQL …

ReplyQuote
]]> By: Making it easy! Executando query utilizando valores ascii. « Meninão http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-597 Making it easy! Executando query utilizando valores ascii. « Meninão Sat, 03 Jan 2009 02:47:36 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-597 [...] Entenda sobre essa e outras técnicas mais efetivas aqui. [...]<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('597','Making it easy! Executando query utilizando valores ascii. « Meninão'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('597','Making it easy! Executando query utilizando valores ascii. « Meninão','[...] Entenda sobre essa e outras técnicas mais efetivas aqui. [...]'); return false;">Quote</a></div> [...] Entenda sobre essa e outras técnicas mais efetivas aqui. [...]
ReplyQuote
]]> By: Ulisses Castro http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-553 Ulisses Castro Wed, 03 Dec 2008 16:49:17 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-553 LOL Troll detected! o.O Bom vendo todo mundo comentar sobre Prepared Statements e tal... é bacana e é fortemente recomendada MAAAAAAAS... lembrando que utilizando você estará delegando pro BD o processamento, portanto cuidado ao utilizá-la pois em certas circunstâncias pode acarretar em perda de performance... Mais dois cents! :) [s]<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('553','Ulisses Castro'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('553','Ulisses Castro','LOL Troll detected! o.O\r\n\r\nBom vendo todo mundo comentar sobre Prepared Statements e tal... é bacana e é fortemente recomendada MAAAAAAAS... lembrando que utilizando você estará delegando pro BD o processamento, portanto cuidado ao utilizá-la pois em certas circunstâncias pode acarretar em perda de performance...\r\n\r\nMais dois cents! :)\r\n\r\n[s]'); return false;">Quote</a></div> LOL Troll detected! o.O

Bom vendo todo mundo comentar sobre Prepared Statements e tal… é bacana e é fortemente recomendada MAAAAAAAS… lembrando que utilizando você estará delegando pro BD o processamento, portanto cuidado ao utilizá-la pois em certas circunstâncias pode acarretar em perda de performance…

Mais dois cents! :)

[s]

ReplyQuote
]]> By: Elias Wagner http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-551 Elias Wagner Wed, 03 Dec 2008 15:44:41 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-551 Keylly, sinto não ter atendido sua expectativa. eu falei dos riscos de usar as funções de escape e o que pode-se usar para bypassar estes controles. Não falei apenas das funções de ascii e char, as funções foram apresentadas como ferramenta para burlar os controles de escape. Se você espera o passo-a-passo de como fazer isso, sinto muito, o post não é um how-to de como fazer SQL Injection, se você pegar um script e testar vai ver o que acontece. Obrigado pelo comentário.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('551','Elias Wagner'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('551','Elias Wagner','Keylly,\r\n\r\nsinto não ter atendido sua expectativa. eu falei dos riscos de usar as funções de escape e o que pode-se usar para bypassar estes controles. Não falei apenas das funções de ascii e char, as funções foram apresentadas como ferramenta para burlar os controles de escape.\r\n\r\nSe você espera o passo-a-passo de como fazer isso, sinto muito, o post não é um how-to de como fazer SQL Injection, se você pegar um script e testar vai ver o que acontece.\r\n\r\nObrigado pelo comentário.'); return false;">Quote</a></div> Keylly,

sinto não ter atendido sua expectativa. eu falei dos riscos de usar as funções de escape e o que pode-se usar para bypassar estes controles. Não falei apenas das funções de ascii e char, as funções foram apresentadas como ferramenta para burlar os controles de escape.

Se você espera o passo-a-passo de como fazer isso, sinto muito, o post não é um how-to de como fazer SQL Injection, se você pegar um script e testar vai ver o que acontece.

Obrigado pelo comentário.

ReplyQuote
]]> By: Keylly Eyglys http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-550 Keylly Eyglys Wed, 03 Dec 2008 02:58:42 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-550 Bem, achei seu post incompleto pois não falou quais os ataques que podem ser realizados mesmo realizando o escape nas aspas. Serviu apenas para apresentar a função ascii e char do MySQL (que já deveria ser do conhecimento de muitos).<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('550','Keylly Eyglys'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('550','Keylly Eyglys','Bem, achei seu post incompleto pois não falou quais os ataques que podem ser realizados mesmo realizando o escape nas aspas.\r\n\r\nServiu apenas para apresentar a função ascii e char do MySQL (que já deveria ser do conhecimento de muitos).'); return false;">Quote</a></div> Bem, achei seu post incompleto pois não falou quais os ataques que podem ser realizados mesmo realizando o escape nas aspas.

Serviu apenas para apresentar a função ascii e char do MySQL (que já deveria ser do conhecimento de muitos).

ReplyQuote
]]> By: Elias Wagner http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-549 Elias Wagner Tue, 02 Dec 2008 21:59:14 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-549 Douglas, realmente tem muitas coisas que acabam passando despercebidas. :) Obrigado pelo comentário.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('549','Elias Wagner'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('549','Elias Wagner','Douglas,\r\n\r\nrealmente tem muitas coisas que acabam passando despercebidas. :)\r\n\r\nObrigado pelo comentário.'); return false;">Quote</a></div> Douglas,

realmente tem muitas coisas que acabam passando despercebidas. :)

Obrigado pelo comentário.

ReplyQuote
]]> By: Elias Wagner http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-548 Elias Wagner Tue, 02 Dec 2008 21:56:24 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-548 Carlos André, eu não recomendo ficar validando, fazendo substituição de strings especificas, o melhor dos mundos é usar prepared statements e/ou fazer uma validação positiva, deixar passar apenas o conjunto de strings que você precisa e não trazem risco a aplicação. Obrigado pelo comentário.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('548','Elias Wagner'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('548','Elias Wagner','Carlos André,\r\n\r\neu não recomendo ficar validando, fazendo substituição de strings especificas, o melhor dos mundos é usar prepared statements e\/ou fazer uma validação positiva, deixar passar apenas o conjunto de strings que você precisa e não trazem risco a aplicação.\r\n\r\nObrigado pelo comentário.'); return false;">Quote</a></div> Carlos André,

eu não recomendo ficar validando, fazendo substituição de strings especificas, o melhor dos mundos é usar prepared statements e/ou fazer uma validação positiva, deixar passar apenas o conjunto de strings que você precisa e não trazem risco a aplicação.

Obrigado pelo comentário.

ReplyQuote
]]> By: Elias Wagner http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-547 Elias Wagner Tue, 02 Dec 2008 21:54:38 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-547 João Marcos, realmente as prepared statements são uma boa opção para tratar vulnerabilidades de SQL Injection, além do ganho de performance por elas manterem um plano de execução em cache. Eu recomendo também usar prepared statements, inclusive está no texto. Quanto ao escape, ele tem outras necessidades, por exemplo a que foi comentada pelo Ulisses. Obrigado pelo comentário.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('547','Elias Wagner'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('547','Elias Wagner','João Marcos,\r\n\r\nrealmente as prepared statements são uma boa opção para tratar vulnerabilidades de SQL Injection, além do ganho de performance por elas manterem um plano de execução em cache. Eu recomendo também usar prepared statements, inclusive está no texto.\r\n\r\nQuanto ao escape, ele tem outras necessidades, por exemplo a que foi comentada pelo Ulisses.\r\n\r\nObrigado pelo comentário.'); return false;">Quote</a></div> João Marcos,

realmente as prepared statements são uma boa opção para tratar vulnerabilidades de SQL Injection, além do ganho de performance por elas manterem um plano de execução em cache. Eu recomendo também usar prepared statements, inclusive está no texto.

Quanto ao escape, ele tem outras necessidades, por exemplo a que foi comentada pelo Ulisses.

Obrigado pelo comentário.

ReplyQuote
]]> By: Douglas Cunha http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-546 Douglas Cunha Tue, 02 Dec 2008 18:16:39 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-546 Desenvolvo em PHP faz tempo. Sempre me preocupei em usar as funções de escape, mas nunca atentei para essa forma de ataque. Vou ficar mais esperto agora. Muito bom o artigo. Aposto que como eu, muita gente via essas funções do MySQL (char, ascii...) com uma certa ingenuidade.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('546','Douglas Cunha'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('546','Douglas Cunha','Desenvolvo em PHP faz tempo. Sempre me preocupei em usar as funções de escape, mas nunca atentei para essa forma de ataque. Vou ficar mais esperto agora.\r\n\r\nMuito bom o artigo. Aposto que como eu, muita gente via essas funções do MySQL (char, ascii...) com uma certa ingenuidade.'); return false;">Quote</a></div> Desenvolvo em PHP faz tempo. Sempre me preocupei em usar as funções de escape, mas nunca atentei para essa forma de ataque. Vou ficar mais esperto agora.

Muito bom o artigo. Aposto que como eu, muita gente via essas funções do MySQL (char, ascii…) com uma certa ingenuidade.

ReplyQuote
]]> By: Ribamar FS http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-544 Ribamar FS Tue, 02 Dec 2008 15:52:23 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-544 Agradecido por compartilhar seus conhecimentos. Não sei porque usa: "Você chegou até aqui procurando por "" através do www.google.com." Eu não cheguei aqui via Google, portanto está furado.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('544','Ribamar FS'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('544','Ribamar FS','Agradecido por compartilhar seus conhecimentos.\r\n\r\nNão sei porque usa:\r\n\"Você chegou até aqui procurando por \"\" através do www.google.com.\"\r\n\r\nEu não cheguei aqui via Google, portanto está furado.'); return false;">Quote</a></div> Agradecido por compartilhar seus conhecimentos.

Não sei porque usa:
“Você chegou até aqui procurando por “” através do http://www.google.com.”

Eu não cheguei aqui via Google, portanto está furado.

Replyhttp://www.google.com.\"\r\n\r\nEu não cheguei aqui via Google, portanto está furado.’); return false;”>Quote
]]> By: Carlos André Ferrari http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-543 Carlos André Ferrari Tue, 02 Dec 2008 15:51:54 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-543 então se eu não permitir a utilização dessas palavras (char, hex, unhex e dumpfile) e o escape na minha consulta já deve resolver o problema para praticamente todas as situações, certo?<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('543','Carlos André Ferrari'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('543','Carlos André Ferrari','então se eu não permitir a utilização dessas palavras (char, hex, unhex e dumpfile) e o escape na minha consulta já deve resolver o problema para praticamente todas as situações, certo?'); return false;">Quote</a></div> então se eu não permitir a utilização dessas palavras (char, hex, unhex e dumpfile) e o escape na minha consulta já deve resolver o problema para praticamente todas as situações, certo?
ReplyQuote
]]> By: Erick http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-542 Erick Tue, 02 Dec 2008 15:39:26 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-542 Cara muito bom o post, tem muitos programadores que acabam expondo sistemas com vulnerabilidades na internet, e soluções fáceis podem resolver o problema. Falow, t+<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('542','Erick'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('542','Erick','Cara muito bom o post, tem muitos programadores que acabam expondo sistemas com vulnerabilidades na internet, e soluções fáceis podem resolver o problema.\r\n\r\nFalow, t+'); return false;">Quote</a></div> Cara muito bom o post, tem muitos programadores que acabam expondo sistemas com vulnerabilidades na internet, e soluções fáceis podem resolver o problema.

Falow, t+

ReplyQuote
]]> By: João Marcus http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-541 João Marcus Tue, 02 Dec 2008 15:22:07 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-541 Por que não usar Prepared Statements de uma vez? Elas têm uma performance melhor quando a query é executada várias vezes, e são realmente seguras. Você não precisa se preocupar em fazer escape de nada.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('541','João Marcus'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('541','João Marcus','Por que não usar Prepared Statements de uma vez? Elas têm uma performance melhor quando a query é executada várias vezes, e são realmente seguras. Você não precisa se preocupar em fazer escape de nada.'); return false;">Quote</a></div> Por que não usar Prepared Statements de uma vez? Elas têm uma performance melhor quando a query é executada várias vezes, e são realmente seguras. Você não precisa se preocupar em fazer escape de nada.
ReplyQuote
]]> By: SQL Injection e as funções de escape no php http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-540 SQL Injection e as funções de escape no php Tue, 02 Dec 2008 14:03:05 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-540 [...] por Wagner Elias (weliasΘconviso·com·br) – referência [...]
ReplyQuote
]]> By: Elias Wagner http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-539 Elias Wagner Tue, 02 Dec 2008 13:23:02 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-539 Fala Ulisses, obrigado pelo complemento.... P.s.: Ainda bem que o wordpress limita a injeção de código, você não pode ver parâmetro... :) Abs.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('539','Elias Wagner'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('539','Elias Wagner','Fala Ulisses, obrigado pelo complemento....\r\n\r\nP.s.: Ainda bem que o wordpress limita a injeção de código, você não pode ver parâmetro... :)\r\n\r\nAbs.'); return false;">Quote</a></div> Fala Ulisses, obrigado pelo complemento….

P.s.: Ainda bem que o wordpress limita a injeção de código, você não pode ver parâmetro… :)

Abs.

ReplyQuote
]]> By: Ulisses Castro http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-538 Ulisses Castro Tue, 02 Dec 2008 13:06:41 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-538 aaaaaaarg!!! mal o spam…

select “codigoPHPaqui” into dumpfile “/var/www”

ReplyQuote
]]>