Sanitização de códigos como mecanismo de prevenção contra SQL injection em bancos de dados.

Abstract

Este artigo aborda a prevenção de ataques de SQL Injection (SQLi) em aplicações web, com foco na utilização das técnicas de sanitização de dados e parametrização de consultas. O objetivo principal foi demonstrar, por meio de análise, como essas estratégias podem ser aplicadas de forma eficaz no desenvolvimento seguro de aplicações PHP, especialmente em contextos que envolvem o uso de Prepared Statements (mysqli e PDO) e ORMs, como o Eloquent. A metodologia adotada foi qualitativa, com análise comparativa de exemplos de código seguro e vulnerável. Os resultados confirmam que, embora a sanitização seja essencial para garantir a integridade dos dados e prevenir erros de entrada, é a parametrização que oferece maior robustez na proteção contra SQLi, ao impedir que dados do usuário sejam interpretados como comandos SQL. Conclui-se que a combinação dessas técnicas representa uma defesa em profundidade eficaz e que sua aplicação deve ser acompanhada de boas práticas no desenvolvimento, como validação com listas de permissão e o uso consciente de funções que executam comandos SQL diretamente.

This article addresses the prevention of SQL Injection (SQLi) attacks in web applications, focusing on the use of data sanitization and query parameterization techniques. The main goal was to demonstrate, through analysis, how these strategies can be effectively applied to the secure development of PHP applications, particularly using Prepared Statements (mysqli and PDO) and ORMs such as Eloquent. The methodology used was qualitative, based on a comparative analysis of secure and vulnerable code examples. The results confirm that, while data sanitization is essential to ensure data integrity and avoid input errors, parameterization offers the strongest protection against SQLi by preventing user input from being interpreted as executable SQL code. It is concluded that the combination of both techniques represents an effective defense-in-depth strategy, which must be supported by good development practices, such as whitelist validation and careful use of functions that execute raw SQL commands.