Evitar inyección?

SeaPirates · #1 (**permalink**) 01/05/2011, 07:23

Código PHP:

  function mysql_escape($cadena) { 
    if(get_magic_quotes_gpc() != 0) { 
        $cadena = stripslashes($cadena); 
    } 
    return mysql_real_escape_string($cadena); 
} 
$variable = mysql_escape($_GET['var']); 
mysql_query("UPDATE users SET columna = '$variable'");

Esto estaría bien así para evitar inyección post,get etc... ?

abimaelrc · #2 (**permalink**) 01/05/2011, 08:48

mysql_real_escape_string es sufiente para evitar inyecciones. Si tu sabes que en el servidor que estás colocando el código tienen desactivado mygic_quotes_gpc, ese código estaría demás, pero si lo tienes desactivado, lo mejor es ver si en el control de panel lo puedes inhabilitar. Si no es posible entonces usa ese código.

SeaPirates · #3 (**permalink**) 01/05/2011, 10:21

la funcion mysql_real_escape_string se usa así?

$variable = mysql_real_escape_string($_GET['var']);

#4 (**permalink**) 01/05/2011, 10:40

Cita:

Iniciado por SeaPirates

la funcion mysql_real_escape_string se usa así?

$variable = mysql_real_escape_string($_GET['var']);

Si, mas información en http://php.net/manual/en/function.my...ape-string.php

Sourcegeek · #5 (**permalink**) 01/05/2011, 15:29

Muestras en pantalla algún dato de lo que se carga en la tabla users?
Si es así, supongo que también te falta htmlentities() para evitar inyecciones del tipo XSS

Saludos!