SQL Injection | PHP e MySQL II: Cookies, sessões e mais recursos

Solucionado (ver solução)

Solucionado
(ver solução)

1
resposta

por VINICIUS T TAVARES

| 270.6k xp | 6 posts

Apliquei SQL injection para cada variável, está funcionando perfeitamente. No entanto gostaria de saber uma melhor maneira para fazer isso sem ter que fazer variável por variável.

function insereProduto($conexao, $nome, $preco, $descricao, $categoria_id, $usado){

$nome = mysqli_real_escape_string($conexao, $nome); $preco = mysqli_real_escape_string($conexao, $preco); $descricao = mysqli_real_escape_string($conexao, $descricao); $categoria_id=mysqli_real_escape_string($conexao, $categoria_id); $usado = mysqli_real_escape_string($conexao, $usado);

$query = "insert into produtos (nome, preco, descricao, categoria_id, usado) values ('{$nome}',{$preco},'{$descricao}','{$categoria_id}', {$usado})";

return mysqli_query($conexao, $query); }

1 resposta

solução!

por Ariani Cristina Martins

| 150.1k xp | 2 posts

14/12/2015

Olá Vinicius, basta colocar os campos que quer em um array e fazer um foreach...

$campos = array($nome, $preco, $descricao);
$inputs = array();
foreach ($campos as $campo) {
        $inputs[$campo] = mysqli_real_escape_string($conexao, $campo);
}

Aí na query:

$query = "insert into produtos (nome, preco, descricao, categoria_id, usado) values ('$inputs[$nome]',$inputs[$preco],'$inputs[$descricao]',{$categoria_id},{$usado})";

Ao menos para mim, funcionou!

Garanta sua matrícula hoje e ganhe + 2 meses grátis