Conexiones seguras con PHP a BD, dudas

thetwister · #1 (**permalink**) 25/06/2012, 18:31

Hola de nuevo!

Ando de nuevo por aca buscando un poco de ayuda y/u consejos con algunas partes en mi codigo de php respecto a seguridad, espero puedan darme una mano

Les muestro algunas partes donde tengo dudas del codigo

Para hacer conexion con la base de datos uso esto:

Código PHP:

  $conexion=mysql_connect("nombre_host","usuario","contrasena") OR die(mysql_error()); 
 
mysql_select_db("base_n1",$conexion);

Para hacer una consulta en la que tome una fila en especial y luego mostrar parte de su contenido uso esto:

Código PHP:

  include("conecta.php"); 
 
$consultas=mysql_query("SELECT * FROM tabla1 WHERE nombre LIKE '$espe'"); 
 
while ($file=mysql_fetch_array($consultas)) 
    { 
              echo $file['nombre']; 
              echo $file['edad']; 
              echo $file['otros']; 
         } 
else 
        { 
            echo "Persona no encontrada"; 
        } 
mysql_close($conexion);

¿como puedo hacer estos mas seguros?

Lei algo sobre el uso de mysql_real_escape_string() y strip_tags() pero no entiendo bien como usarlo en mi caso.
Tambien lei sobre un archivo php.ini pero aun no investigo bien sobre ese ultimo.

cualquier ayuda es bienvenida
Gracias por adelantado xD

Ronruby · #2 (**permalink**) 25/06/2012, 19:27

Cada valor que uses como filtro (en tu clausula WHERE) de tu consulta, debe ser (o se recomienda) filtrado usando mysql_real_escape_string.
En tu caso seria:
$espe = mysql_real_escape_string($espe);
$consultas=mysql_query("SELECT * FROM tabla1 WHERE nombre LIKE '$espe'");

Lo de strip_tags probablemente sea para cuando vas a insertar datos. Para evitar XSS, pero eso ya es otra cosa.