Hola a todos quisiera saber si hago lo correcto, quiero esa funcion para validar que no se ingrese codigo SQL.
Código PHP:
<?php
$x="wer dfgg";
function detect($c) {
if(preg_match('/\s/', $c)){
return false;}
elseif(preg_match('/[\'"]/', $c)){
return false;}
elseif(preg_match('/[\/\\\\]/', $c)){
return false;}
elseif(preg_match('/(and|or|null|not)/i', $c)){
return false;}
elseif(preg_match('/(union|select|from|where)/i', $c)){
return false;}
elseif(preg_match('/(group|order|having|limit)/i', $c)){
return false;}
elseif(preg_match('/(into|file|case)/i', $c)){
return false;}
elseif(preg_match('/(--|#|\/\*)/', $c)){
return false;}
elseif(preg_match('/(=|&|\|)/', $c)){
return false;}
else{
return true;}
}
if(detect($x) == false){echo "Algo anda mal";}
else{ echo "Todo bien";}
?>