Comentarios sobre inyecciones sql

ricardo_tu · #1 (**permalink**) 05/10/2011, 18:31

Hola a todos y todas, tengo una duda, mas bien un temor... algo así como el bicho que aparece cada noche y no te deja dormir... (es una exageración).
Que debo entender por : INYECCIONES SQL.
Como lo puedo evitar, como lo puedo evaluar... agradezco todo lo que me puedan comentar al respecto.
Gracias

andresdzphp · #2 (**permalink**) 05/10/2011, 18:35

Lo que recomiendan es que se use PDO y Prepared statements para no tener problemas de este tipo. En el foro se ha discutido bastante el tema.

Saludos.

ricardo_tu · #3 (**permalink**) 05/10/2011, 18:51

Gracias sin embargo me dejas prácticamente igual, ya que ni siquiera comprendo el concepto. Solo se que es algo malo.

andresdzphp · #4 (**permalink**) 05/10/2011, 18:58

Inyección SQL: http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL

Cita:

PDO: La extensión PHP Data Objects (PDO) define un interfaz ligera, para tener acceso a bases de datos en PHP. Cada controlador de base de datos que implementa la interfaz PDO puede exponer base de datos específicas como funciones de extensión regular. Tenga en cuenta que no puede realizar las funciones de base de datos utilizando la extensión PDO por sí mismo, debe utilizar un controlador PDO de base de datos específica para tener acceso a un servidor de base de datos.

PDO proporciona una capa de abstracción acceso a datos, que significa que, independientemente de la base de datos que está utilizando, se utiliza las mismas funciones para realizar consultas y obtener datos. PDO no proporciona una abstracción base de datos; esto no reescribe SQL o emular características faltantes. Debe usar una capa de abstracción en toda regla, si necesita esto.

Muchos otros recomiendan que se use por ejemplo con mysql mysql_real_escape_string y usar funciones como sprintf, y realizar una validación correcta de los datos.