Estimados Colegas: en estos tiempos estoy desarollando una aplicación web para un cliente y tengo el siguiente dilema , evitar todo tipo de ataque RFI , XSS , y por sobre todo SQL INJECTION.
En mi tiempo libre elabore este codigo , que creo me filtra todo posible intento de ataque.
Código PHP:
public function CleanVar($var)
{
if (!isset($var)) {
$var=htmlentities(htmlspecialchars(trim(addslashes($var))));
$bad_words=array("UNION","LEFT","JOIN","=","='","?","==","=","===");
$var=str_replace($bad_words,"",$var);
return $var;
}
}
para ustedes este codigo es funcional a lo que yo necesito o tengo alguna posible backdoor por donde me puedan evitar el filtro y perjudicar mi aplicación con algun ataque?.
Desde ya gracias.!