31/08/2009, 15:56
| |||
| |||
| Ayuda seguridad con sql inyeccion Bueno, queria saber lo sigueinte acerca de seguridad web, si tengo algo como lo sigueinte: <?php $_POST['nombre']; $saludo = htmlentities($_POST['nombre'];, ENT_QUOTES); mysql_query(Insert $saludo); ?> esto previene un ataque de sql iyneccion ya que filtra la entrada de todo los caratceres e incluso comillas, porfavor necesito ayuda, ya que tengo esa duda, porque veo que el mysql_real_escape_string ase casi lo mismo... entonces tengo esa duda . . . |
|
31/08/2009, 16:05
| ||||
| ||||
| Respuesta: Ayuda seguridad con sql inyeccion Es sugerible cuando vayas a ingresar datos a mysql usar mysql_real_escape_string ya que se encarga de pasar los datos como deben ser a la base de datos. Tambien htmlentities hace la funcion pero convierte todos los html en sus respectivas entidades. Por ejemplo si va a insertar la doble comilla con htmlentities la inserta de esta forma usando el ENT_QUOTES, doble comillas -> "e; Mientras que mysql_real_escape_string lo inserta de esta forma doble comillas -> \" Eso va a depender de como tu quieras que inserte la información. Pero de las dos formas evita los ataques de sql
__________________ Verifica antes de preguntar. Los verdaderos amigos se hieren con la verdad, para no perderlos con la mentira. - Eugenio Maria de Hostos |
|
31/08/2009, 16:16
| |||
| |||
| Respuesta: Ayuda seguridad con sql inyeccion Pero a veces las sql iynecciones se pedue ahcer con solo espaicios. . .a veces hmtlentities noe s muy segura por ejemplo enves de comilla esto: and select 1,2,4 Por eso pregunatabga, optra coa esto es seguro?? if($usuario == $user ) { //and $password == $pass) { setcookie("adminuse",$usuario,time()+60*60*24*365, "/"); setcookie("adminpa",$password,time()+60*60*24*365, "/"); } |
|
31/08/2009, 16:21
| ||||
| ||||
| Respuesta: Ayuda seguridad con sql inyeccion htmlentities() no sirve para evitar inyecciones SQL, aunque si evita inyecciones XSS (scripts); para evitar problemas en tu base de datos usa mysql_real_escape_string(). |
