Funcion antiinjection y seguridad.

AbdelioR · #1 (**permalink**) 21/04/2008, 16:33

Buenas, tengo una funcion para evitar el sql injection que aplico en los valores que introduce el usuario en formularios y demás.

Es esta:

Código PHP:

  function sql_quote($valor) 
{   if(get_magic_quotes_gpc()) 
    {$valor = stripslashes($valor);} 
    //comprueba si existe la función  
    if(function_exists("mysql_real_escape_string")) 
    {$valor = mysql_real_escape_string( $valor );} 
    //para las versiones < 4.3.0 de php usamos addslashes  
    else {$valor = addslashes($valor);} 
    return $valor;}

Antes de nada me gustaria saber si es válida o si habria que usar alguna otra más completa... nunca me quedo tranquilo con la seguridad.

Entonces, tengo un panel de comentarios en los que los usuarios pueden dejar comentarios. Pero claro, está la cosa de los simbolos raros y demás... ahora aplico la funcion sql_quote al comentario, pero no me acepta por ejemplo el signo "¿".

Mi duda es como hacer que esto sea funcional pero que el usuario pueda escribir con normalidad y dejar mensajes comunes sin tener que modificarle el mensaje siempre que este sea correcto...

Un saludo.

emiliodeg · #2 (**permalink**) 21/04/2008, 22:34

deberias de utilizar una funcion de reemplazo por ejemplo

preg_replace('/[a-zA-Z0-9]/','',$texto);

eso reemplazaria a todo aquel caracter distinto del abecedario en minuscula y mayuscula y los numeros del 0 al 9 por nada

ejemplo

la canción 35 de Raul Nuñez

seria transformado en

la cancin 35 de Raul Nuez

AbdelioR · #3 (**permalink**) 22/04/2008, 01:09

"que el usuario pueda escribir con normalidad y dejar mensajes comunes sin tener que modificarle el mensaje siempre que este sea correcto"

No creo que sea buena idea suprimir las ñ's, acentos y demás cuando el usuario escribe S:

AbdelioR · #4 (**permalink**) 22/04/2008, 12:50

¿¿Nadie?? :(

eulloa · #5 (**permalink**) 22/04/2008, 13:32

Me imagino entonces q todo lo tendrás q hacer manual, como te dijo emiliodeg, porq de una forma u otra las funciones te van a quitar caracteres q quizás desees conservar.
saludos

usermax · #6 (**permalink**) 22/04/2008, 15:42

La función que mostraste arriba puede funcionar.Escaparía los caracteres que puedan usarse con sql inyection con \

Saludos

AbdelioR · #7 (**permalink**) 24/04/2008, 07:40

Pero entonces si un usuario introduce interrogantes o acentos no se añadirian al mensaje :S

Tengo la duda de como evitar el sql injection pero que el usuario pueda escribir con total normalidad.

Eleazan · #8 (**permalink**) 24/04/2008, 08:13

http://es.php.net/manual/es/function...ape-string.php

hiltman · #9 (**permalink**) 24/04/2008, 08:20

no seria mejor utilizar la funcion htmlspecialchars($variable)?