Filtrado en consultas (seguridad)

Chechux · #1 (**permalink**) 28/12/2008, 09:02

Buenas!!
Muy sencillo y rápidamente. Para un campo de formulario, mediante el cual recogemos una búsqueda a una base de datos, con la función mysql_real_escape_string() sería suficiente, o sería mejor añadir además la función htmlentities()??

es decir, una de dos:
$variable=mysql_real_escape_string($variable);
$variable=htmlentities(mysql_real_escape_string($v ariable));

Gracias y un saludo.

pateketrueke · #2 (**permalink**) 28/12/2008, 09:54

depende mucho, debes investiga por tu propia cuenta lo que es un ataque XSS o SQLInjection

solo piensa un poco, si requieres un email ... tan solo debes filtrar un email, si necesitas filtrar un numero entero... tan solo usa el filtro adecuado....

Código PHP:

  $foo = (int) $bar; // procuramos un entero
$foo = mysql_real_escape_string(strip_tags($bar)); // nada de HTML
$foo = xss_clean($bar); // alguna funcion anti XSS

lo que haces, puede bastar... solo si ignoras lo que esta pasando detrás, si de verdad quisieras hacerlo bien.... bueno, ya hubieras investigado, suerte!