Foros del Web » Programando para Internet » PHP »

[SOLUCIONADO] PHP OO ¿Como realizar in INSERT seguro?

Estas en el tema de ¿Como realizar in INSERT seguro? en el foro de PHP en Foros del Web. Hola actualmente estoy en un proyecto y tengo que ingresar en un campo dsitintos caracteres desde ' hasta *, practicamente es el campo de mensaje ...
  #1 (permalink)  
Antiguo 11/11/2015, 11:10
Avatar de Chiiviito  
Fecha de Ingreso: octubre-2012
Mensajes: 64
Antigüedad: 11 años, 4 meses
Puntos: 0
¿Como realizar in INSERT seguro?

Hola actualmente estoy en un proyecto y tengo que ingresar en un campo dsitintos caracteres desde ' hasta *, practicamente es el campo de mensaje para hacer post asi que la gente puede poner lo que ase y dar ejemplos de codigos como por ejemplo:

Código PHP:
Ver original
  1. var n = usig.NormalizadorDirecciones.init();
  2.  
  3.  try {
  4.       var opts = n.normalizar('AQUINO', 10);
  5.       alert('Bien');
  6.  } catch (error) {
  7.       alert('error2');
  8.  }

Mi duda es como aceptar todos los caracteres sin que hagan cosas malas de por medio? Algun inject?
Vi en cms de terceros y vi en la BD se guarda exactamente igual es como si no tuviese ningun tipo de filtro
Saludos
  #2 (permalink)  
Antiguo 11/11/2015, 11:17
Avatar de pateketrueke
Modernizr
 
Fecha de Ingreso: abril-2008
Ubicación: Mexihco-Tenochtitlan
Mensajes: 26.399
Antigüedad: 15 años, 11 meses
Puntos: 2534
Respuesta: ¿Como realizar in INSERT seguro?

Cita:
Vi en cms de terceros y vi en la BD se guarda exactamente igual es como si no tuviese ningun tipo de filtro
Exacto.

El problema de una inyección no es en sí el código sino como lo "preparas" antes de insertarlo en la base de datos, si ni lo escapas adecuadamente puede producirse un error de sintaxis de SQL y eso es la puerta a una inyección.

Si usas PDO el método prepare() hace todo lo posible para mantener segura tu consulta.

Cita:
Mi duda es como aceptar todos los caracteres sin que hagan cosas malas de por medio
La solución consiste efectivamente en preparar las consultas, escapar el texto que se introduce pero no transformarlo ni "codificarlo" de ningún modo.

No debes alterar la naturaleza original de la información sólo por no saber escapar tus consultas.
__________________
Y U NO RTFM? щ(ºдºщ)

No atiendo por MP nada que no sea personal.
  #3 (permalink)  
Antiguo 11/11/2015, 11:26
Avatar de Chiiviito  
Fecha de Ingreso: octubre-2012
Mensajes: 64
Antigüedad: 11 años, 4 meses
Puntos: 0
Respuesta: ¿Como realizar in INSERT seguro?

Estaba pensando en pasarme de MySqli a PDO no seria mucho trabajo pero no hay alguna solucion para MySqli?
mysqli_real_escape_string
Solo con eso bastara?
EDITO:
Encontre esto :
http://www.w3schools.com/php/php_mys...statements.asp
Seria lo mismo? osea cumple la mismia funcion?
Saludos
  #4 (permalink)  
Antiguo 11/11/2015, 11:47
Avatar de pateketrueke
Modernizr
 
Fecha de Ingreso: abril-2008
Ubicación: Mexihco-Tenochtitlan
Mensajes: 26.399
Antigüedad: 15 años, 11 meses
Puntos: 2534
Respuesta: ¿Como realizar in INSERT seguro?

Sí, el propósito es el mismo.
__________________
Y U NO RTFM? щ(ºдºщ)

No atiendo por MP nada que no sea personal.

Etiquetas: insert
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 04:56.