Foros del Web » Programando para Internet » PHP »

Duda sobre inyecciones

Estas en el tema de Duda sobre inyecciones en el foro de PHP en Foros del Web. Saludos estaba leyendo sobre las funciones que tiene php para escapar los carecteres que hacen posible las inyecciones, casi todos decian que las mejores eran: ...
  #1 (permalink)  
Antiguo 25/07/2012, 17:08
 
Fecha de Ingreso: julio-2010
Mensajes: 158
Antigüedad: 13 años, 8 meses
Puntos: 3
Duda sobre inyecciones

Saludos estaba leyendo sobre las funciones que tiene php para escapar los carecteres que hacen posible las inyecciones, casi todos decian que las mejores eran: addslashes y mysql_real_escape_string, pero leyendo un poco mas lei que las ultimas versiones de php ya tienen el escape automatico para las variables $_GET, $_POST y creo que $_COOKIE tambien, vi que se lo hace a las comillas simples y dobres, \n y \r, mis dudas son:

¿Si ya lo hace de forma automatica, ya no es necesario usar las funciones anteriores?

¿Qué tan confiable y seguro es esto?

Saludos y gracias.
  #2 (permalink)  
Antiguo 25/07/2012, 17:14
Avatar de pateketrueke
Modernizr
 
Fecha de Ingreso: abril-2008
Ubicación: Mexihco-Tenochtitlan
Mensajes: 26.399
Antigüedad: 15 años, 11 meses
Puntos: 2534
Respuesta: Duda sobre inyecciones

¿De verdad ya se hace el escape automático?

Estaría bueno que pusieras el enlace donde leíste eso, no me lo creo y eso que ya ando usando php 5.4+ eso no sucede, o no se como conseguir lo que dices.
__________________
Y U NO RTFM? щ(ºдºщ)

No atiendo por MP nada que no sea personal.
  #3 (permalink)  
Antiguo 25/07/2012, 17:23
 
Fecha de Ingreso: julio-2010
Mensajes: 158
Antigüedad: 13 años, 8 meses
Puntos: 3
Respuesta: Duda sobre inyecciones

Pues no se si el termino escape sea el correcto, pero tengo

<input type="text" name="algo">

Si escribo blabla 'blabla' "blabla" \n \r

al imprimir $_POST[algo] me devuelve:

blabla blabla \'blabla\' \"blabla\" \\n y \\r
  #4 (permalink)  
Antiguo 25/07/2012, 17:33
 
Fecha de Ingreso: junio-2012
Mensajes: 23
Antigüedad: 11 años, 9 meses
Puntos: 8
Respuesta: Duda sobre inyecciones

Hola buenas tardes, creo que lo que se menciona respecto a que en $_POST, $_GET, ... aún no se lleva a cabo, ya que si eso fuera asi se mencionaría en
http://www.php.net/manual/es/security.database.sql-injection.php

Estaría increible que en lenguaje lo hiciera de forma automatica.
  #5 (permalink)  
Antiguo 25/07/2012, 20:52
Avatar de pateketrueke
Modernizr
 
Fecha de Ingreso: abril-2008
Ubicación: Mexihco-Tenochtitlan
Mensajes: 26.399
Antigüedad: 15 años, 11 meses
Puntos: 2534
Respuesta: Duda sobre inyecciones

Pues permitan que les diga que no sería genial.

Existía una funcionalidad conocida como magic_quotes en php que precisamente hacía eso, si ahora les resulta es porque su versión de php está mal configurada o es vieja.

Dicha "magia" es un dolor de cabeza realmente, esa es la razón de que le hayan eliminado en las versiones mas recientes de php.
__________________
Y U NO RTFM? щ(ºдºщ)

No atiendo por MP nada que no sea personal.
  #6 (permalink)  
Antiguo 25/07/2012, 22:36
 
Fecha de Ingreso: julio-2010
Mensajes: 158
Antigüedad: 13 años, 8 meses
Puntos: 3
Respuesta: Duda sobre inyecciones

No veo como sea un problema al menos para mi, pues no es tan extensa mi pagina, aun asi sigo con las preguntas de si es seguro dejar esto asi para evitar las inyecciones y si es cierto donde lei decia que es por magic_quotes del php.ini.
  #7 (permalink)  
Antiguo 26/07/2012, 08:16
webankenovi
Invitado
 
Mensajes: n/a
Puntos:
Respuesta: Duda sobre inyecciones

que version estas usando de php???

Etiquetas: inyecciones, mysql, variables
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 07:59.