Foros del Web » Programando para Internet » PHP »

Conexiones seguras con PHP a BD, dudas

Estas en el tema de Conexiones seguras con PHP a BD, dudas en el foro de PHP en Foros del Web. Hola de nuevo! Ando de nuevo por aca buscando un poco de ayuda y/u consejos con algunas partes en mi codigo de php respecto a ...
  #1 (permalink)  
Antiguo 25/06/2012, 18:31
Avatar de thetwister  
Fecha de Ingreso: agosto-2008
Mensajes: 30
Antigüedad: 14 años, 3 meses
Puntos: 3
Pregunta Conexiones seguras con PHP a BD, dudas

Hola de nuevo!

Ando de nuevo por aca buscando un poco de ayuda y/u consejos con algunas partes en mi codigo de php respecto a seguridad, espero puedan darme una mano

Les muestro algunas partes donde tengo dudas del codigo

Para hacer conexion con la base de datos uso esto:

Código PHP:
$conexion=mysql_connect("nombre_host","usuario","contrasena") OR die(mysql_error());

mysql_select_db("base_n1",$conexion); 
Para hacer una consulta en la que tome una fila en especial y luego mostrar parte de su contenido uso esto:
Código PHP:
include("conecta.php");

$consultas=mysql_query("SELECT * FROM tabla1 WHERE nombre LIKE '$espe'");

while (
$file=mysql_fetch_array($consultas))
    {
              echo 
$file['nombre'];
              echo 
$file['edad'];
              echo 
$file['otros'];
         }
else
        {
            echo 
"Persona no encontrada";
        }
mysql_close($conexion); 
¿como puedo hacer estos mas seguros?

Lei algo sobre el uso de mysql_real_escape_string() y strip_tags() pero no entiendo bien como usarlo en mi caso.
Tambien lei sobre un archivo php.ini pero aun no investigo bien sobre ese ultimo.

cualquier ayuda es bienvenida
Gracias por adelantado xD
  #2 (permalink)  
Antiguo 25/06/2012, 19:27
Avatar de Ronruby  
Fecha de Ingreso: julio-2008
Ubicación: 18°30'N, 69°59'W
Mensajes: 4.879
Antigüedad: 14 años, 4 meses
Puntos: 416
Respuesta: Conexiones seguras con PHP a BD, dudas

Cada valor que uses como filtro (en tu clausula WHERE) de tu consulta, debe ser (o se recomienda) filtrado usando mysql_real_escape_string.
En tu caso seria:
$espe = mysql_real_escape_string($espe);
$consultas=mysql_query("SELECT * FROM tabla1 WHERE nombre LIKE '$espe'");

Lo de strip_tags probablemente sea para cuando vas a insertar datos. Para evitar XSS, pero eso ya es otra cosa.

Etiquetas: bd, conexiones, dudas, mysql, seguras, sql, tabla, usuarios
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 21:07.