Foros del Web » Programando para Internet » PHP »

Evitar inyección?

Estas en el tema de Evitar inyección? en el foro de PHP en Foros del Web. Código PHP: function  mysql_escape ( $cadena ) {     if( get_magic_quotes_gpc () !=  0 ) {          $cadena  =  stripslashes ( $cadena );     }     return  mysql_real_escape_string ( $cadena ); ...
  #1 (permalink)  
Antiguo 01/05/2011, 08:23
 
Fecha de Ingreso: enero-2009
Ubicación: España
Mensajes: 785
Antigüedad: 10 años, 10 meses
Puntos: 9
Evitar inyección?

Código PHP:
function mysql_escape($cadena) {
    if(
get_magic_quotes_gpc() != 0) {
        
$cadena stripslashes($cadena);
    }
    return 
mysql_real_escape_string($cadena);
}
$variable mysql_escape($_GET['var']);
mysql_query("UPDATE users SET columna = '$variable'"); 
Esto estaría bien así para evitar inyección post,get etc... ?
  #2 (permalink)  
Antiguo 01/05/2011, 09:48
Avatar de abimaelrc
Colaborador
 
Fecha de Ingreso: mayo-2009
Ubicación: En el planeta de Puerto Rico
Mensajes: 14.734
Antigüedad: 10 años, 6 meses
Puntos: 1517
Respuesta: Evitar inyección?

mysql_real_escape_string es sufiente para evitar inyecciones. Si tu sabes que en el servidor que estás colocando el código tienen desactivado mygic_quotes_gpc, ese código estaría demás, pero si lo tienes desactivado, lo mejor es ver si en el control de panel lo puedes inhabilitar. Si no es posible entonces usa ese código.
__________________
Verifica antes de preguntar.
Los verdaderos amigos se hieren con la verdad, para no perderlos con la mentira. - Eugenio Maria de Hostos
  #3 (permalink)  
Antiguo 01/05/2011, 11:21
 
Fecha de Ingreso: enero-2009
Ubicación: España
Mensajes: 785
Antigüedad: 10 años, 10 meses
Puntos: 9
Respuesta: Evitar inyección?

la funcion mysql_real_escape_string se usa así?

$variable = mysql_real_escape_string($_GET['var']);
  #4 (permalink)  
Antiguo 01/05/2011, 11:40
marcofbb
Invitado
 
Mensajes: n/a
Puntos:
Respuesta: Evitar inyección?

Cita:
Iniciado por SeaPirates Ver Mensaje
la funcion mysql_real_escape_string se usa así?

$variable = mysql_real_escape_string($_GET['var']);
Si, mas información en http://php.net/manual/en/function.my...ape-string.php
  #5 (permalink)  
Antiguo 01/05/2011, 16:29
Avatar de Sourcegeek
Colaborador
 
Fecha de Ingreso: mayo-2009
Ubicación: $mex['B.C.'];
Mensajes: 1.816
Antigüedad: 10 años, 6 meses
Puntos: 322
Respuesta: Evitar inyección?

Muestras en pantalla algún dato de lo que se carga en la tabla users?
Si es así, supongo que también te falta htmlentities() para evitar inyecciones del tipo XSS

Saludos!
__________________
Buscas desarrollador web? Sourcegeek. Diseño web, Maquetación y Programación
¡Escribe bien! Esto es un foro, no un Facebook para que escribas con los pies

Etiquetas: inyección
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 02:20.