Saúde & Desempenho
Monitoramento de Disponibilidade de Sites
Monitore a disponibilidade de HTTP, HTTPS, DNS, UDP, TCP, e-mail e mais.
Monitoramento de Desempenho de Sites
Monitore o desempenho completo do site carregando-o com um navegador Chrome real.
Monitoramento de Usuários Reais
Monitore a velocidade da experiência do usuário para os visitantes do seu site.
Operações
Monitoramento de Transações em Sites
Monitore transações de múltiplas etapas e seja notificado se algo der errado.
Monitoramento de Expiração de Domínio
Monitore a expiração dos seus domínios.
Página de Status Pública
Exiba atualizações operacionais em tempo real do seu site ao público.
Segurança
Monitoramento de Certificados SSL
Monitore o certificado SSL do seu site.
Monitoramento de Vírus
Novo
Receba alertas se seu site for infectado por vírus ou malware.
Pronto para começar? Cadastre-se grátis
Recursos
Aprenda
Aprenda novidades sobre tópicos relacionados a monitoramento, manutenção e desenvolvimento de sites.
Perguntas
Encontre respostas para perguntas comuns sobre monitoramento, manutenção e desenvolvimento de sites.
Informações do Produto
Blog
Informações úteis para nossos clientes sobre atualizações e novidades dos produtos.
Pronto para começar? Cadastre-se grátis

Como Prevenir SQL Injection em PHP

Início  »  Aprenda  »  Como Prevenir SQL Injection em PHP
Publicado 26 de janeiro de 2026

Injeção de SQL é um grande problema de segurança que pode permitir que atacantes modifiquem consultas ao banco de dados e obtenham acesso a dados privados que não deveriam ter. Em aplicações PHP, ataques de injeção de SQL acontecem quando a entrada do usuário não é verificada ou limpa antes de ser usada em consultas SQL. Este artigo analisa os diferentes tipos de ataques de injeção de SQL, mostra exemplos de código PHP que está vulnerável a ataques, e discute as melhores formas de evitar problemas de injeção de SQL em suas aplicações.

Entendendo Ataques de Injeção de SQL em PHP

O Que é Injeção de SQL?

Injeção de SQL é uma técnica usada por atacantes para injetar código SQL malicioso em uma aplicação PHP vulnerável. Isso acontece quando a entrada do usuário não é validada ou limpa adequadamente antes de ser usada em uma consulta SQL. Atacantes exploram validação de entrada inadequada e consultas SQL dinâmicas para manipular o comportamento da aplicação e obter acesso não autorizado ao banco de dados. Ao criar valores de entrada especiais, atacantes podem modificar a estrutura da consulta SQL, contornar autenticação, recuperar informações sensíveis ou até executar comandos SQL arbitrários no servidor de banco de dados.

Aqui está um exemplo de um trecho de código PHP vulnerável que permite injeção de SQL:

$username = $_POST['username'];
$password = $_POST['password'];

$query = "SELECT * FROM users WHERE username='$username' AND password='$password'";
$result = mysqli_query($connection, $query);

Neste código, os valores $username e $password fornecidos pelo usuário são diretamente concatenados na consulta SQL sem qualquer validação ou limpeza. Um atacante pode explorar essa vulnerabilidade inserindo uma entrada maliciosa como:

username: admin' --
password: qualquervalor

A consulta SQL resultante seria:

SELECT * FROM users WHERE username='admin' -- AND password='qualquervalor'

A sintaxe de comentário -- anula a verificação de senha, permitindo que o atacante contorne a autenticação e obtenha acesso não autorizado.

Tipos Comuns de Ataques de Injeção de SQL

Injeção de SQL Baseada em Union

Neste tipo de ataque, atacantes usam o operador UNION para combinar os resultados de múltiplas instruções SELECT e extrair informações sensíveis. Ao adicionar uma instrução SELECT maliciosa à consulta original, atacantes podem recuperar dados de diferentes tabelas ou colunas que não eram destinados a serem acessíveis. Esta técnica depende da aplicação retornar o resultado da consulta injetada para o atacante.

Exemplo de uma injeção de SQL baseada em union:

Consulta original:

SELECT name, description FROM products WHERE id = $id

Consulta injetada:

SELECT name, description FROM products WHERE id = 1 UNION SELECT username, password FROM users

A consulta injetada combina a consulta original com uma instrução SELECT adicional que recupera credenciais sensíveis de usuário da tabela users.

Injeção de SQL Cega (Blind SQL Injection)

Injeção de SQL cega ocorre quando a aplicação não retorna diretamente os resultados da consulta injetada para o atacante. Em vez disso, atacantes enviam consultas elaboradas e observam a resposta da aplicação para inferir a estrutura e conteúdo do banco de dados. Eles fazem isso fazendo a aplicação se comportar de forma diferente com base no resultado da condição injetada. Ao construir cuidadosamente as consultas e analisar o tempo de resposta da aplicação, mensagens de erro ou outras mudanças de comportamento, atacantes podem extrair informações sensíveis um bit por vez.

Exemplo de uma injeção de SQL cega:

Consulta original:

SELECT * FROM users WHERE id = $id

Consulta injetada:

SELECT * FROM users WHERE id = 1 AND SUBSTRING(password, 1, 1) = 'a'

Neste caso, o atacante injeta uma condição que verifica se o primeiro caractere da senha é 'a'. Ao observar a resposta da aplicação (por exemplo, um atraso ou um erro), o atacante pode determinar se a condição é verdadeira ou falsa e gradualmente adivinhar a senha caractere por caractere.

Injeção de SQL Baseada em Erro

Nesta técnica, atacantes intencionalmente provocam erros SQL para coletar informações sobre o banco de dados e seu esquema. Eles fazem isso inserindo instruções SQL malformadas ou caracteres especiais que fazem o banco de dados gerar mensagens de erro. Essas mensagens de erro frequentemente contêm informações valiosas como nomes de tabelas, nomes de colunas ou até porções de dados sensíveis. Atacantes podem usar essas informações para refinar seus ataques e mirar partes específicas do banco de dados.

Exemplo de uma injeção de SQL baseada em erro:

Consulta injetada:

SELECT * FROM users WHERE id = 1 AND (SELECT 1 FROM (SELECT COUNT(*), CONCAT((SELECT (SELECT CONCAT(username,':',password)) FROM users LIMIT 0,1), 0x3a, FLOOR(RAND(0)*2)) x FROM information_schema.tables GROUP BY x) a)

Esta consulta injetada complexa tenta extrair o nome de usuário e senha da tabela users provocando um erro que inclui a informação sensível na mensagem de erro.

Prevenindo Ataques de Injeção de SQL

Para prevenir ataques de injeção de SQL em aplicações PHP, siga estas melhores práticas:

Prática Descrição
Consultas Parametrizadas Use prepared statements com consultas parametrizadas para separar a entrada do usuário da estrutura da consulta SQL.
Validação de Entrada Valide e limpe a entrada do usuário antes de usá-la em consultas SQL. Rejeite ou limpe quaisquer caracteres especiais ou entrada maliciosa.
Menor Privilégio Configure a conta de usuário do banco de dados para ter privilégios mínimos necessários para a funcionalidade da aplicação.
Escape de Caracteres Especiais Se consultas parametrizadas não forem possíveis, faça o escape adequado de caracteres especiais na entrada do usuário usando mysqli_real_escape_string() do PHP ou a função quote() do PDO.
Stored Procedures Use stored procedures para encapsular operações de banco de dados e limitar o acesso às tabelas subjacentes.
Prepared Statements Use prepared statements para pré-compilar consultas SQL e separar a entrada do usuário da estrutura da consulta. Prepared statements tratam a entrada do usuário como dados, não como parte do comando SQL.

Aqui está um diagrama ilustrando o fluxo de um ataque de injeção de SQL:

graph TD A[Atacante] --> B[Cria entrada maliciosa] B --> C[Envia entrada maliciosa para a aplicação] C --> D[Aplicação recebe a entrada] D --> E{Entrada validada/limpa adequadamente?} E -->|Não| F[Consulta SQL concatenada com entrada maliciosa] F --> G[Banco de dados executa a consulta injetada] G --> H[Atacante obtém acesso não autorizado ou recupera dados sensíveis] E -->|Sim| I[Consulta SQL executada com segurança] I --> J[Aplicação funciona conforme esperado]

Prevenindo Injeção de SQL em PHP com Prepared Statements

Prepared Statements

Prepared statements executam consultas SQL separando a lógica SQL da entrada do usuário. Eles defendem contra ataques de injeção de SQL. Em vez de colocar entrada do usuário na consulta SQL, prepared statements usam placeholders (por exemplo, ? ou parâmetros nomeados como :username) para os valores de entrada. Esses placeholders são posteriormente vinculados aos valores reais antes de executar a consulta. Ao separar a estrutura SQL da entrada do usuário, prepared statements tratam a entrada como dados e não como parte do comando SQL, prevenindo injeção de código SQL malicioso.

PDO (PHP Data Objects) para Prepared Statements

PDO (PHP Data Objects) é uma extensão em PHP que fornece uma forma consistente e segura de interagir com diferentes bancos de dados. Ele suporta prepared statements e consultas parametrizadas, tornando-o uma boa escolha para prevenir vulnerabilidades de injeção de SQL.

PDO fornece métodos para preparar, vincular e executar instruções SQL com segurança. Ele lida com as diferenças entre fornecedores de banco de dados, permitindo que você escreva código portável e de fácil manutenção. PDO também oferece melhor desempenho do que funções MySQL tradicionais, pois pode reutilizar o mesmo prepared statement várias vezes com diferentes valores de parâmetros.

Guia para Usar Prepared Statements com PDO

Aqui está um guia sobre como usar prepared statements com PDO para prevenir injeção de SQL em PHP:

  1. Conecte ao banco de dados com PDO:

    $dsn = 'mysql:host=localhost;dbname=mydatabase';
$username = 'seu_usuario';
$password = 'sua_senha';

try {
   $pdo = new PDO($dsn, $username, $password);
   $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
} catch (PDOException $e) {
   die('Conexão falhou: ' . $e->getMessage());
}

  2. Prepare a consulta SQL com placeholders para entrada do usuário:

    $stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username");

    Neste exemplo, :username é um parâmetro nomeado que serve como placeholder para o valor de nome de usuário fornecido pelo usuário.

  3. Vincule a entrada do usuário aos placeholders:

    $username = $_POST['username'];
$stmt->bindParam(':username', $username);

    O método bindParam() vincula a entrada do usuário ao parâmetro nomeado no prepared statement. Ele trata a entrada como dados e não como parte do comando SQL.

  4. Execute o prepared statement:

    $stmt->execute();

    O método execute() executa o prepared statement com os valores de parâmetros vinculados.

  5. Busque e processe os resultados:

    $user = $stmt->fetch(PDO::FETCH_ASSOC);

    O método fetch() recupera o resultado da instrução executada. Você pode especificar o estilo de busca, como PDO::FETCH_ASSOC, para retornar um array associativo.

Exemplo: Login de Usuário

Vamos considerar um exemplo de um sistema de login de usuário onde precisamos obter informações do usuário com base no nome de usuário e senha fornecidos. Veja como você pode usar prepared statements com PDO para prevenir injeção de SQL:

// Obtenha a entrada do usuário do formulário de login
$username = $_POST['username'];
$password = $_POST['password'];

// Prepare a consulta SQL com placeholders
$stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username AND password = :password");

// Vincule a entrada do usuário aos placeholders
$stmt->bindParam(':username', $username);
$stmt->bindParam(':password', $password);

// Execute o prepared statement
$stmt->execute();

// Busque o registro do usuário
$user = $stmt->fetch(PDO::FETCH_ASSOC);

// Verifique se o usuário existe e a senha está correta
if ($user) {
    // Usuário autenticado com sucesso
    // Execute ações (por exemplo, defina sessão, redirecione)
} else {
    // Nome de usuário ou senha inválidos
    // Exiba uma mensagem de erro
}

Neste exemplo, o nome de usuário e senha fornecidos pelo usuário são vinculados aos placeholders no prepared statement. A consulta SQL é executada com segurança, prevenindo possíveis tentativas de injeção de SQL.

Benefícios dos Prepared Statements

  • Separa a lógica SQL da entrada do usuário, prevenindo ataques de injeção de SQL
  • Melhora a legibilidade e manutenibilidade do código
  • Permite reutilização do mesmo prepared statement com diferentes valores de parâmetros
  • Fornece melhor desempenho do que funções MySQL tradicionais

Melhores Práticas

  • Sempre use prepared statements para consultas SQL com entrada do usuário
  • Valide e limpe a entrada do usuário antes de usá-la em consultas SQL
  • Use parâmetros nomeados para legibilidade e manutenibilidade
  • Implemente configuração segura de banco de dados e controle de acesso de menor privilégio
  • Mantenha seu PHP e software de banco de dados atualizados com os patches de segurança mais recentes

Medidas Adicionais para Prevenir Injeção de SQL em PHP

Técnicas de Validação de Entrada

Além de usar prepared statements, você deve validar e limpar a entrada do usuário antes de usá-la em consultas SQL. Validação de entrada previne ataques de injeção de SQL verificando que os dados inseridos pelos usuários correspondem ao formato esperado e contêm apenas caracteres permitidos.

Whitelist é uma boa técnica, onde você define um conjunto de caracteres ou padrões permitidos e rejeita qualquer entrada que não corresponda a essas regras. Por exemplo, se você espera que um usuário insira um ID numérico, você pode validar a entrada usando expressões regulares para verificar que ela contém apenas dígitos.

Aqui está um exemplo de validação de um ID numérico usando PHP:

$id = $_POST['id'];

// Valide que o ID contém apenas dígitos
if (!preg_match('/^\d+$/', $id)) {
    // Entrada inválida, trate o erro
    die("Formato de ID inválido");
}

// Use o ID validado na consulta SQL
$stmt = $pdo->prepare("SELECT * FROM users WHERE id = ?");
$stmt->execute([$id]);

Neste exemplo, a função preg_match() verifica se a variável $id contém apenas dígitos. Se a validação falhar, um erro é lançado, impedindo que a entrada inválida seja usada na consulta SQL.

Você também deve fazer o escape adequado de caracteres especiais e usar os métodos de codificação corretos. Caracteres especiais como aspas simples, aspas duplas e barras invertidas podem ser usados para manipular consultas SQL se não forem tratados corretamente. Ao fazer escape desses caracteres ou usar funções de codificação apropriadas, você pode impedir que sejam interpretados como parte da sintaxe SQL.

PHP tem funções como mysqli_real_escape_string() ou PDO::quote() para fazer escape de caracteres especiais na entrada do usuário. No entanto, geralmente é melhor usar prepared statements com consultas parametrizadas em vez de escape manual, pois é uma abordagem mais confiável e segura.

Aqui estão alguns exemplos de técnicas comuns de validação de entrada:

Técnica Descrição Exemplo
Whitelist Permitir apenas caracteres ou padrões específicos Permitir apenas caracteres alfanuméricos: /^[a-zA-Z0-9]+$/
Validação de Comprimento Verificar o comprimento da entrada Garantir que o nome de usuário tenha entre 4 e 20 caracteres: /^.{4,20}$/
Validação de Tipo Validar o tipo de entrada (por exemplo, inteiro, email) Validar um endereço de email: /^[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.[A-Z]{2,}$/i
Validação de Intervalo Verificar se a entrada está dentro de um intervalo especificado Garantir que a idade está entre 18 e 120: /^(1[89]|[2-9]\d|1[01]\d|120)$/

Stored Procedures e Consultas Parametrizadas

Stored procedures são instruções SQL pré-compiladas que são armazenadas no banco de dados e podem ser chamadas a partir do código da aplicação. Eles adicionam uma camada extra de segurança encapsulando lógica SQL complexa e limitando o acesso às tabelas subjacentes.

Ao usar stored procedures, você pode definir parâmetros que aceitam entrada do usuário, similar aos prepared statements. Ao passar entrada do usuário como parâmetros para stored procedures, você pode prevenir ataques de injeção de SQL, já que a entrada é tratada como dados e não como parte do comando SQL.

Aqui está um exemplo de um stored procedure que recupera informações do usuário com base em um nome de usuário fornecido:

CREATE PROCEDURE GetUserByUsername
    @Username VARCHAR(50)
AS
BEGIN
    SELECT * FROM users WHERE username = @Username
END

Neste exemplo, o stored procedure GetUserByUsername aceita um parâmetro @Username e o usa na consulta SQL para recuperar informações do usuário. O parâmetro é tratado como dados, prevenindo injeção de SQL.

Para chamar o stored procedure a partir do PHP, você pode usar PDO ou MySQLi:

$username = $_POST['username'];

$stmt = $pdo->prepare("CALL GetUserByUsername(?)");
$stmt->execute([$username]);
$user = $stmt->fetch(PDO::FETCH_ASSOC);

Ao usar stored procedures com consultas parametrizadas, você pode centralizar a lógica de acesso ao banco de dados, melhorar o desempenho e aumentar a segurança de sua aplicação PHP.

Princípio do Menor Privilégio e Funções de Usuário de Banco de Dados

O princípio do menor privilégio significa que usuários e aplicações devem ter apenas as permissões mínimas necessárias para realizar suas tarefas. Aplicar este princípio a funções e permissões de usuário de banco de dados é um passo importante para prevenir injeção de SQL e reduzir o impacto de potenciais ataques.

Ao configurar o usuário de banco de dados para sua aplicação PHP, limite seus direitos de acesso ao mínimo necessário para a funcionalidade da aplicação. Isso significa dar ao usuário apenas as permissões necessárias para realizar tarefas específicas, como SELECT, INSERT, UPDATE ou DELETE, nas tabelas relevantes.

Ao restringir os privilégios do usuário de banco de dados, você pode reduzir o dano potencial que um atacante pode causar se conseguir explorar uma vulnerabilidade de injeção de SQL. Por exemplo, se a aplicação precisa apenas de acesso de leitura a certas tabelas, o usuário de banco de dados deve receber privilégio SELECT apenas nessas tabelas, prevenindo quaisquer modificações ou exclusões não autorizadas.

Receba Alertas Quando Seu Site Cair
Monitoramento de tempo de atividade e velocidade
Monitoramento de transações em múltiplas etapas
Monitoramento de certificados SSL
Monitoramento de vírus e malware
Páginas de status e alertas de incidentes
Recursos
Preços
Blog
Aprenda
Perguntas
Pontos de Monitoramento
Fale Conosco
Mapa do Site
Documentação da API
Produtos
Monitoramento de Disponibilidade de Sites
Monitoramento de Desempenho de Sites
Monitoramento de Transações em Sites
Monitoramento de Usuários Reais
Monitoramento de Certificados SSL
Monitoramento de Expiração de Domínio
Página de Status Pública
Monitoramento de Vírus
Novo
Ferramentas
Teste de Disponibilidade de Sites
Calculadora de Uptime
Gerador de Expressões Cron
Descritor de Expressões Cron
Conversor de Hex para RGB
Conversor de RGB para Hex
Mostrar Todas as Ferramentas
Legal
Política de Privacidade
Política de Cookies
Termos e Condições
GDPR
© 2015-2026 Uptimia. Todos os direitos reservados.
Português Português
English English
Deutsch Deutsch
Français Français
Português Português
Español Español
Italiano Italiano
Nederlands Nederlands