Foros del Web » Programando para Internet » PHP »

Inyeccion de SQl

Estas en el tema de Inyeccion de SQl en el foro de PHP en Foros del Web. Hola a todos. ¿Cómo puedo evitar de forma eficaz la inyección de SQl en PhP?. Mil gracias....
  #1 (permalink)  
Antiguo 04/05/2004, 11:06
lrn
 
Fecha de Ingreso: marzo-2004
Mensajes: 40
Antigüedad: 13 años, 8 meses
Puntos: 0
Inyeccion de SQl

Hola a todos. ¿Cómo puedo evitar de forma eficaz la inyección de SQl en PhP?. Mil gracias.
  #2 (permalink)  
Antiguo 04/05/2004, 11:31
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
Hay varias cosas a tener encunenta .. pero comenzando con:

mysql_escape_string() usando en las variables que introduzcas como parte de tus consultas podrías ir mejorando la seguridad de ese tema

Código PHP:
$sql="SELECT * FROM tabla WHERE id='".mysql_escape_string($_GET['id'])."'"
Luego está el tema de validar tus datos .. si sabes por ejemplo que ese "id" es numérico .. no aceptese nada que no sea numérico (is_numeric() si no me equivoco lo podrías ver ..). Si es una cadena .. mysql_escape_string() ya añade los slashs (\) a las comillas " o ' entre otros caracteres que podrian ser tomados como "ruptura" de tu condicional y empezar a tomar parte de la consulta SQL .. (eso .. junto con meter tu variable ente 'comillas')

Un saludo,
__________________
Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 09:56.