Foros del Web » Programando para Internet » PHP »

¿Este code basta para evitar inyeccion SQL?

 Estas en el tema de ¿Este code basta para evitar inyeccion SQL? en el foro de PHP en Foros del Web. Hola, me di cuenta de que mi web era insegura y se la podia atacar mediante inyeccion de sql. Entoces imaginé que existe alguna función ...
  #1 (permalink)  
Antiguo 04/03/2007, 17:04
Avatar de marcolandia  
Fecha de Ingreso: febrero-2007
Ubicación: En mi hermosa nación Arge
Mensajes: 107
Antigüedad: 17 años, 2 meses
Puntos: 2
¿Este code basta para evitar inyeccion SQL?
Hola, me di cuenta de que mi web era insegura y se la podia atacar mediante inyeccion de sql.
Entoces imaginé que existe alguna función en php que me permita "limpiar" una variable de comandos SQL (como la función strip_tags();), encontré esta función: mysql_real_escape_string();
lo que hago simplemente es pasar por esa función cada variable que está dentro de una sentencia SQL. Por ejemplo:
Código PHP:
mysql_query("select * from `noticias` where entrada=".$id."';"); 
¿Es totalmente seguro usar nada más esta función? ¿No hay alguna manera de que salten esta protección?
Saludos
  #2 (permalink)  
Antiguo 05/03/2007, 03:20
Avatar de jerkan  
Fecha de Ingreso: septiembre-2005
Mensajes: 1.607
Antigüedad: 18 años, 6 meses
Puntos: 19
Re: ¿Este code basta para evitar inyeccion SQL?
Amigo mío, en informática no hay nada totalmente seguro. Pero utilizar la función mysql_real_escape_string() es una buena manera para evitar ataques de inyección sql.

Un saludo.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta


« Tema Anterior | Próximo Tema »


La zona horaria es GMT -6. Ahora son las 07:15.