Seguridad PHP

jonatanc · #1 (**permalink**) 13/03/2009, 20:21

Estimados Colegas: en estos tiempos estoy desarollando una aplicación web para un cliente y tengo el siguiente dilema , evitar todo tipo de ataque RFI , XSS , y por sobre todo SQL INJECTION.
En mi tiempo libre elabore este codigo , que creo me filtra todo posible intento de ataque.

Código PHP:

   public function CleanVar($var) 
    { 
        if (!isset($var)) { 
            $var=htmlentities(htmlspecialchars(trim(addslashes($var)))); 
            $bad_words=array("UNION","LEFT","JOIN","=","='","?","==","=","==="); 
            $var=str_replace($bad_words,"",$var); 
            return $var; 
        } 
    }

para ustedes este codigo es funcional a lo que yo necesito o tengo alguna posible backdoor por donde me puedan evitar el filtro y perjudicar mi aplicación con algun ataque?.

Desde ya gracias.!

Triby · #2 (**permalink**) 13/03/2009, 20:49

Tienes un error en el if donde solo aplicaria las modificaciones a una variable cuando esta no exista, recuerda que el ! es equivalente a NOT.

Practicamente puedes permitir cualquier palabra y signo, aun <? con casi nulo riesgo de SQL INJECTION, siempre y cuando apliques a todas las variables de texto mysql_real_escape_string(), ademas de htmlentities y htmlspecialchars.

Siempre verifica que la longitud de las cadenas este en un limite adecuado para guardarlo en la base de datos.