Nos Ultimos tempos, o tipo de ataque mais comum entre hackers malvados, é a terrível sql injection. Em Que o hacker injeta um código malicioso no site,sistema(…), e consegui explorar o site, e conseguir diversas informações no site.
Os administradores de sites hoje em dia não estão si preocupando tanto quanto deveriam com a questão de segurança.  Alguns, não é porque não si preocupam e sim porque não dão conta de si proteger contra estes ataques.
Então este que é o meu propósito hoje. É ensinar as pessoas si precaverem do pior, que pode acontecer.
Esse código é muito simples para quem conhece alguma coisa de php.
Código php:
<?php
//si cod que vou pegar via post nao for numero, entao manda para uma pagina de error; caso o link der erro entao da em exit na pagina
if(!is_numeric($_POST['cod']){
header(“location:error.php”);
exit;
}else{//caso contrario o codigo for numero entao pega o cod via post
$cod    =$_POST['cod'];
}
if((isset($_POST['nome']) && ($_POST['nome']==”")){//si existe um post chamado nome e neste post nao estiver nada nele, entao da erro
header(“location:error.php”);
exit;
}
//Aqui vamos comecar a segurança do site, nao podera entrar nenhum caracter especial via post, assim bloquiará os ataques de sqlinjection
//a funcao str_replace, é para substituir caracteres de alguma coisa
$nome  =$_POST['nome'];
$nome  =str_replace(“‘”,”", $nome);
$nome  =str_replace(“+”,”",$nome);
$nome  =str_replace(“@”,”",$nome);
$nome  =str_replace(“(“,”",$nome);
$nome  =str_replace(“)”,”",$nome);
$nome  =str_replace(“&”,”",$nome);
$nome  =str_replace(“=”,”",$nome);
$nome  =str_replace(“!”,”",$nome);
$nome  =str_replace(“#”,”",$nome);
$nome  =str_replace(“%”,”",$nome);
$nome  =str_replace(“*”,”",$nome);
$nome  =str_replace(“.”,”",$nome);
$nome  =str_replace(“,”,”",$nome);
//Aqui podemos selecionar o banco de forma nomal, sem precisar de medo desta query
mysql_select_db($database_local, $local);
$query_rr = sprintf(“SELECT cod, nome, descricao, codigo FROM postss WHERE cod=’$cod’ and where nome=’$nome’”);
//acima eu selecionei cod,nome,descricao e o codigo da tabela postss em que o cod seja igual ao que nos pegamos via post, e o nome seja //igual ao que nos pegamos via post
$rr = mysql_query($query_rr, $local) or die(mysql_error());
$row_rr = mysql_fetch_assoc($rr);
?>
Conclusão
Esse código foi para mostrar para os administradores de sites que dependendo do assunto, é “fácil si proteger”(Entre aspas, é claro).