Como evitar una inyección sql?

andvilla07 · #1 (**permalink**) 23/11/2012, 16:03

Hola amigos, me gustaria mucho saber como puedo evitar una inyección sql, donde debo colocar esas sentencias, que códigos debo tener en cuenta para hacer pruebas en mi login ademas de este ('or 1=1--'), si alguien me puede facilitar por favor ejemplos y tutoriales, les estaré agradecido completamente.

Gracias!

mauled · #2 (**permalink**) 23/11/2012, 16:24

Te dijo un link en donde se habla acerca de este tema. php.net

Saludos.

andvilla07 · #3 (**permalink**) 23/11/2012, 16:54

Gracias amigo!

Si tienes alguna info extra, no estaria de mas.

Jg23 · #4 (**permalink**) 23/11/2012, 19:20

Puedes usar el "mysql_real_escape_string", ejemplo:

Código:

$username = mysql_real_escape_string($_POST["username"]);
$password = mysql_real_escape_string($_POST["password"]);

$query = mysql_query("SELECT * FROM users WHERE username = '$username' AND password = '$password' LIMIT 1");

espero que te ayude ;)

abimex · #5 (**permalink**) 23/11/2012, 19:30

usar PDO

andvilla07 · #6 (**permalink**) 26/11/2012, 08:18

Voy a probar, ya les comentaré, gracias!

andvilla07 · #7 (**permalink**) 26/11/2012, 14:33

Hola de nuevo, tengo una duda, en el aplicativo que trabajo, que esta montado en un servidor, hago pruebas de inyeccion sql y puedo ingresar comprobando su vulnerabilidad, pero si hago pruebas en mi localhost, no me produce error alguno, o sea, no puedo entrar.....si me hago entender?

Que debo hacerle a mi servidor local (wamp) para poder probar que estoy evitando estas inyecciones sql y poder subirl las correcciones al servidor?

Gracias, espero sus comentarios!

abimaelrc · #8 (**permalink**) 26/11/2012, 14:49

Como te indicaron con PDO es suficiente para evitar esa inyección, usa bindParam o bindValue para ello, también hay un tema que habla sobre inyección SQL en el tema que guarda los aportes, verifícalo.

andvilla07 · #9 (**permalink**) 26/11/2012, 14:58

Si, gracias por tu respuesta, pero lo que necesito, antes de utilizar PDO, es hacer pruebas en mi localhost, pero este no me deja probar, no salen errores y no me permite el ingreso si no me logeo correctamente, y el mismo aplicativo ya montado en un servidor, es facil violar su seguridad. No se si me hago entender.

andvilla07 · #10 (**permalink**) 29/11/2012, 13:53

Amigos, algun aporte al respecto? Gracias!

abimaelrc · #11 (**permalink**) 29/11/2012, 14:49

Ya se te ha indicado formas de lograr evitar inyección sql, si quieres saber más del tema te recomiendo una búsqueda en internet que hay mucho tema al respecto.

andvilla07 · #12 (**permalink**) 30/11/2012, 08:25

Cita:

Iniciado por abimaelrc

Ya se te ha indicado formas de lograr evitar inyección sql, si quieres saber más del tema te recomiendo una búsqueda en internet que hay mucho tema al respecto.

Si, ya me indicaron las formas de evitar la inyeccion sql, pero no se si me entendieron, como se que estan funcionando correctamente, si en el localhost aparentemente mi sistema esta bien, y quiero "inyectarme" yo mismo, pero no puedo!

gus_anomaly · #13 (**permalink**) 30/11/2012, 09:44

Esta es una linda funcion para limpiar los caracteres malos:

Código PHP:

Ver originalfunction clean($str)
        {   
            if(get_magic_quotes_gpc())
            {
                $str = stripslashes($str);
            }
        
            $str = mysql_real_escape_string($str);
            return $str;
        }

Asi es como la usas:

Código PHP:

Ver original$valor = clean($_REQUEST["valor"]);

Saludos!
Gustav.