es correcto utilizar esto?

timoteo666 · #1 (**permalink**) 14/09/2011, 15:57

Que tal amigos del foro, soy nuevo en php y estoy interesado en el tema de la seguridad, quiero saber si lo que estoy haciendo es correcto, tratando de limpiar mi $_POST asi:

Código:

$txtBuscar=mysql_real_escape_string(strip_tags(trim($_POST['nombre'])));

walterdevel · #2 (**permalink**) 14/09/2011, 16:01

Deberías usar expresiones regulares para reestringir a caracteres ( y tal vez números ). Si en tu nombre yo ingresara símbolos, estaría bien en parte de seguridad, pero no en la lógica de datos.

timoteo666 · #3 (**permalink**) 14/09/2011, 16:32

walterdevel gracias por responder, no entiendo mucho eso de 'pero no en la lógica de datos' me pudieras explicar un poco mas? como digo soy nuevo en php pero si me interesa aprender

Cita:

Iniciado por walterdevel

Deberías usar expresiones regulares para reestringir a caracteres ( y tal vez números ). Si en tu nombre yo ingresara símbolos, estaría bien en parte de seguridad, pero no en la lógica de datos.

walterdevel · #4 (**permalink**) 14/09/2011, 16:38

Un ejemplo simple:

De la forma en que lo estás haciendo, yo pudiera ingresar algo así: "_´*º~€#~¬€809.-<>" y lo guardaría como correcto, y supongo que no lo es. Pero tal vez ya estás comprobandolo antes.

timoteo666 · #5 (**permalink**) 14/09/2011, 17:06

aaaa entiendo,... si lo estoy validando desde el html con jquery y luego en php con preg_match y este dato POST no lo utlizo para insert sino para un select, muchas gracias por tu respuesta

Cita:

Iniciado por walterdevel

Un ejemplo simple:

De la forma en que lo estás haciendo, yo pudiera ingresar algo así: "_´*º~€#~¬€809.-<>" y lo guardaría como correcto, y supongo que no lo es. Pero tal vez ya estás comprobandolo antes.