combinación seguridad

ferminako · #1 (**permalink**) 16/01/2012, 15:35

Buenas a todos, soy habitual desarrollador de aplicaciones web en entorno c#.net y el tema de inyecciones sql en ese campo por medio de procedimientos almacenados y demas lo tengo listo pero resulta que actualmente me vienen varios proyectos en php , y toy un poco en bragas... he estado leyendo sobre el tema en php y parece que para evitar inyeccion dentro de lo posible deberia realizar lo siguiente:

1º mysql_real_escape_string a todos los parametros que vayan a parar a mi consulta.
2º prepared statements para la consulta
3º usar stored procedures en mi bd mysql.

seria suficiente, estoy equivocado ? gracias ;)

#2 (**permalink**) 16/01/2012, 16:46

te doy funciones que te seran utiles lee sobre ellas y podras evitar la inyeccion

mysql_real_escape_string para escapar datos en una consulta ademas recomeindo acompañarlo con stripslashes o addslashes

strip_tags para escapar de un string etiquetas html y php
htmlentities o htmlspecialchars para retirar etiquetas html de un string
urlencode y urldecode para mandar datos mediante url

tambien para enteros int()

espero te sirva

andresdzphp · #3 (**permalink**) 16/01/2012, 16:49

Yo prefiero PDO y Prepared statements

#4 (**permalink**) 16/01/2012, 16:51

Cita:

Iniciado por andresdzphp

Yo prefiero PDO y Prepared statements

tu esque sabes mucho jajaja , buen aporte

ferminako · #5 (**permalink**) 17/01/2012, 02:15

tb he leido sobre la clase PDO , me da iwal que opcion usar, asi que esperare algunos comentarios más para optar por una.
En el caso de PDO con prepared statements , tb deberia incluir lo escapes y demas, o la clase ya los implementa al montar los prepared statements?

Gracias