Protegendo contra SQL Injection

Os servidores da RedeHost possuem todas as precauções necessárias contra perigos de invasão, tendo um altíssimo nível de segurança para proteger seu site. Porém podem existir vulnerabilidades na programação de seu site que permitem que um invasor injete comandos SQL em seus formulários, podendo executar operações para burlar a verificação de usuário e senha.

Uma maneira de proteger seu site contra SQL Injection é sempre verificar as informações inseridas nos campos de seus formulários ou passadas por POST ou GET, antes de utilizá-las para executar um comando em SQL, checando se existem os seguintes caracteres:

' - aspas simples
" - aspas duplas
  - espaços
; - ponto e vírgula

Abaixo seguem alguns exemplos de verificação de parâmetros em algumas linguagens utilizando a função Replace.

Obs.: A função Replace substitui um caractere por outro. Nos exemplos abaixo utilizaremos esta função para remover o caractere ' (aspa simples). Faremos isso substituindo-o por um parâmetro vazio ("" - abrir e fechar aspas duplas sem nada entre elas).

ASP (VB)
Dim usuario = Request.Form("user")
usuario = Replace(usuario, "'", "")
'Agora poderá fazer sua consulta SQL utilizando a variável usuario filtrada

ASP.NET (C#)
String usuario = Request.Form["user"];
usuario = usuario.Replace("'","");
//Agora poderá fazer sua consulta SQL utilizando a variável usuario filtrada

PHP
$usuario = $_POST['user'];
$usuario = str_replace("'", "", $usuario);
//Agora poderá fazer sua consulta SQL utilizando a variável usuario filtrada