duda con strtr

charlyta · #1 (**permalink**) 10/09/2010, 12:16

Hola de nuevo! he leido sobre la utilidad de strtr para protegerse de las inyecciones sql y he querido utilizarlo para filtrar los post recibidos. El tema es que no me elimina los caracteres que yo he especificado en una array, como por ejemplo las comillas dobles o simples.

Sugerencias?

Código PHP:

  $quitar= array("-"=>"", " "=>"", "'"=>"", "?"=>"",
"+"=>"", "-"=>"",
 "_"=>"",
 "^"=>"", "*"=>"", "!"=>"", "%"=>"", "¿"=>"",
"¡"=>"", "¨"=>"","´"=>"",
 "ç"=>"",
 "{"=>"", "}"=>"", ":"=>"", "."=>"", ";"=>"",
"("=>"", ")"=>"", "#"=>"",
 "|"=>"", "&"=>"",
"$"=>"", "="=>"", "<"=>"", ">"=>"");


   $vacios=0;
   $inferiores=0;
   
  $recibido = array();
  foreach($_POST as $nombre_campo => $valor){
   $asignacion = "\$" . $nombre_campo . "='" . $valor . "';";
   eval($asignacion);}
   $valor = trim($valor);
   $valor = stripslashes($valor);
   $valor = strip_tags($valor);
   $valor = htmlspecialchars($valor);
   $valor = strtr($valor, $quitar);

pateketrueke · #2 (**permalink**) 10/09/2010, 14:32

¿y porque no va a funcionar?

Código PHP:

  $foo = array('"' => '', "'" => '');
$bar = strtr('Hola "mundo"', $foo);

a menos que no sepas usar la función entiendo, pero solo hasta ahí...

¿ya has leído el manual?
http://php.net/strtr

además te han mentido, pues strtr() no previene de ataques... es un mito...

lo que si te puede ayudar es mysql_real_escape_string()
http://php.net/mysql_real_escape_string

charlyta · #3 (**permalink**) 10/09/2010, 14:49

Gracias por la ayuda. Tenía entendido que eliminando las comillas prevenía posibles ataques, entre otras medidas. Por lo demás, creo que el array que había utilizado y el modo de aplicarlo es el mismo que tú me indicas en el ejemplo y que leí del manual, pero si paso un post como : hola" me hace un eco con las comillas. No veo diferencia, aunque haré más pruebas.
Gracias de todos modos por tu ayuda de verdad