Duda evitar mysql injection

jairo_928 · #1 (**permalink**) 05/09/2012, 04:28

Buenas! Estoy editando mi codigo para evitar inyecciones mysql con mysql_real_escape_string y sprintf, y los INSERT me han quedado así:

Código PHP:

  $ingreso_cas=sprintf 
 
    ("INSERT INTO cas  
          (dni_passaport,cfgm_cursat,centre_cfgm,cfgs_interes)  
     VALUES  
      ('%s','%s','%s','%s') ", 
     mysql_real_escape_string($dni),  
         mysql_real_escape_string($cfgm_cursat),                       
         mysql_real_escape_string($centre_cfgm_cursat),      
         mysql_real_escape_string($cfgs_interes));

El problema es que tengo un INSERT más complejo funcionando con un "implode" y no sé como aplicarle el sprintf y mysql_real_escape_string como en el ejemplo anterior...
Es este:

Código PHP:

  $ingreso_eso_necessitats=  
        "INSERT INTO alumne_necessitats (".implode(',', $camps_necess) . ")  
        VALUES (". implode(',', $Valors_necess).")";

Espero vuestra ayuda, gracias!

alyciashape · #2 (**permalink**) 05/09/2012, 05:44

Puede que me equivoque pero yo creo que con hacerlo así basta (en ambos casos)

$consulta ="INSERT INTO alumne_necessitats (".implode(',', $camps_necess) . ")
VALUES (". implode(',', $Valors_necess).")";

$consulta = mysql_real_escape_string($consulta);

Sino que alguien me corrija.

jairo_928 · #3 (**permalink**) 05/09/2012, 06:21

Así funciona?? Si funciona me facilitaría mucho el trabajo... Aunque de esa manera no se aplica el SPRINTF y entonces no se si seguirá siendo vulnerable...

De todas formas como puedo saber si así ya evita inyección mysql? No he descubierto ninguna forma de probarlo...

Gracias!!

jairo_928 · #4 (**permalink**) 05/09/2012, 08:11

Estoy probando pero me hace algo muy extraño y no me ingresa nada a la DB... Gracias de todos modos.

Alguien podría hacerlo con el mismo método que he puesto en la pregunta?

Muchas gracias!

efenollal · #5 (**permalink**) 05/09/2012, 08:45

Buenas:
No necesitas utilizar sprintf como tal, solamente tienes que utilizar $Valors_necess como array() y dentro de ese array utilizas mysql_real_escape_string.
Ej.

Código PHP:

Ver original$Valors_necess = array(
        mysql_real_escape_string("valor1"), 
        mysql_real_escape_string("valor2"),
    );

Y luego puedes entonces hacer el INSERT a la base de datos con
implode(',', $Valors_necess).
Espero te ayude.

thetwister · #6 (**permalink**) 05/09/2012, 14:50

que no se supone que si $Valors_necess es una variable array, con usar mysql_real_escape_string sobre el, lo haria para todos los valores que tiene dentro?

algo asi como

Código PHP:

Ver original.
$Valors_necess = mysql_real_escape_string($Valors_necess);
.

Porque si son varios valores te llevaria mas tiempo el ir usando el ..escape_string en todas, o al menos eso creo yo

efenollal · #7 (**permalink**) 05/09/2012, 15:03

Ok. mysql_real_escape_STRING te lo dice. No quieres convertir al array en string pq te va a traer un error. Lo que se quiere es tratar a los valores del array que se supone que sean string. Si quieres hacerlo mas dinamico podrias hacerlo con un foreach:

Código PHP:

Ver originalforeach($Valors_necess as $k => $v){
    $Valors_necess[$k] = mysql_real_escape_string($v);
}