На сервере сделал фильтрацию GET, POST если в них встречается все операторы sql типа select, union, insert, update и т.д. Этот фильтр можно обойти как-нибудь? допустим бывают ли закодированные инъекции и как от них защититься? у меня так ток стоит проверки-фильтры перед вводом, выводом в mysql. но на всякий случай решил сделать фильтрацию get & post еще у меня отключен вывод всех ошибок php
если проверка не регистра-зависима то обойти не получится, кодировать можно сколько хочешь, но если даже обойдут фильтр то база все равно не принет операторы в кодированном виде
Почитай фаги, по защите, а так сделай уровни фильтрации и все - у меня почти все типы фильтраций есть. Если ты так боишься за то что расскрутят.
из за того что данные из http загаловки попадают в sql запрос но я имел ввиду методы передачи данных но очевидно что фильтр GET/POST не поможет от иньекций в куках и в хидере запроса
Где то тут была тема по этому поводу и там не первый раз писали: mysql_real_escape_string, приведение типов, и не каких велосипедов. И в mysqli есть какаето фишка типо приготовления запросов которая тоже sql иньекции исключает, ибо приводит к типу. Вроде шаблоны называться. Вообще лучше использовать фреймверк для работы с БД и не писать кучу вело-кода.