2 Funciones Anti SQL Injection - Cual es mejor para uds. ?

aldo1982 · #1 (**permalink**) 22/04/2009, 15:58

hoal gente, buscando encontre estas dos funciones para trabajar variables y mediante las cuales no se pueda hacer sql injection (tanto para post como para get)

aca dejo cada funcion y me gustaria que opinen respecto a cual es la mejro para Uds.

Funcion Nro 1 [posteada por Znet]

Código PHP:

  function clean_bad_chars($char) 
{ 
$ban=0;//Bandera para saber si estan ejecutando una Inyeccion SQL 
$char_w_replaced = stripslashes($char);//Guardamos la Inyeccion original para informacion a la BD 
//Array con las palabras reservadas, para modificar a gusto :D 
$hack_array = array("'", '"', ";", "UNION", "union", "DROP", "drop", "table", "TABLE", "SET", "set", "UPDATE", "update", "SELECT", "select", "-", "--", "MEMB_INFO", "memb_info", "memb__pwd", "memb___id"); //Caracter por el que será reemplazada cada palabra reservada del sitio 
$hack_replace = ""; //Separamos la cadena en un Array para poder hacer la comparacion y determinar si estan 
//ejecutando o no una Inyeccion SQL 
$char1=explode(" ",$char); 
for($i=0;$i<count($char1);$i++) 
{ 
 if(in_array($char1[$i],$hack_array))//si se quiere se puede convertir todo a mayusculas para la comprobacion. 
 { 
  $ban=1; 
 }  
} 
 if ($ban==1) 
 { 
  $add="ESTAS HACKEANDO SI SI";  
  //guardar informacion en base de datos sobre el intento de hacking como IP, etc... 
 } 
 else  
 { 
  $add="NO ESTAS HACKEANDO";  
  //seguir con los procesos del POST o GET sin guardar ips ni nada 
 }   
//reemplazamos las palabras reservadas 
$char_replaced = str_replace($hack_array, $hack_replace, $char); 
//evitamos codigos html y espacios en blanco 
$char_clean=htmlentities(trim($char_replaced)); //retornamos la cadena limpia para usar en nuestra consulta, o podemos devolver segun el resultado de ban 
//un die para no ejecutar nada o como se les ocurra 
 return $char_clean.$add; 
}

Funcion Nro 2 [Posteada por farra]

Código PHP:

  if (!function_exists("GetSQLValueString")) { 
function GetSQLValueString($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = "")  
{ 
  $theValue = get_magic_quotes_gpc() ? stripslashes($theValue) : $theValue; 
 
  $theValue = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($theValue) : mysql_escape_string($theValue); 
 
  switch ($theType) { 
    case "text": 
      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL"; 
      break;     
    case "long": 
    case "int": 
      $theValue = ($theValue != "") ? intval($theValue) : "NULL"; 
      break; 
    case "double": 
      $theValue = ($theValue != "") ? "'" . doubleval($theValue) . "'" : "NULL"; 
      break; 
    case "date": 
      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL"; 
      break; 
    case "defined": 
      $theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue; 
      break; 
  } 
  return $theValue; 
} 
}

uso de funcion 2

Código PHP:

  $variable=GetSQLValueString($_GET['Id'],"int");

Salu2 y espero sirva esta discucion.

David · #2 (**permalink**) 22/04/2009, 16:00

En la mayoría de los casos (si hablamos de MySQL), basta con mysql_real_escape_string() si es un campo texto, y convertir a entero si es un valor numérico (que según parece, es lo que hace la segunda función).

aldo1982 · #3 (**permalink**) 22/04/2009, 16:02

Cita:

Iniciado por David el Grande

En la mayoría de los casos (si hablamos de MySQL), basta con mysql_real_escape_string() si es un campo texto, y convertir a entero si es un valor numérico.

en el caso de que tengo la url de mi web index.php?menu=5

como lo harias ? porque no se como pero me borraron todo :S

f0n · #4 (**permalink**) 22/04/2009, 16:05

$id = (int)$_GET['id']

si no me equivoco eso haría el casting a entero de la variable id

David · #5 (**permalink**) 22/04/2009, 16:07

Usa intval() al dato antes de ingresarlo en la consulta SQL.
http://www.php.net/intval

aldo1982 · #6 (**permalink**) 22/04/2009, 16:19

Cita:

Iniciado por David el Grande

Usa intval() al dato antes de ingresarlo en la consulta SQL.
http://www.php.net/intval

gracias, ahi use el is_numeric($_get[menu])