Foros del Web » Programando para Internet » PHP »

Magic Quotes y SQL Inyection

Estas en el tema de Magic Quotes y SQL Inyection en el foro de PHP en Foros del Web. Holas que tal, se que el Tema de SQL Inyection se ha rehablado muchas veces en el foro, tengo una pequeña duda, ya que he ...
  #1 (permalink)  
Antiguo 16/03/2007, 01:59
Avatar de DeeR  
Fecha de Ingreso: diciembre-2003
Ubicación: Santiago
Mensajes: 520
Antigüedad: 16 años, 1 mes
Puntos: 17
Magic Quotes y SQL Inyection

Holas que tal, se que el Tema de SQL Inyection se ha rehablado muchas veces en el foro, tengo una pequeña duda, ya que he tenido que operar con Servers con magic_quotes_gpc activadas o no.

Si tengo activadas las magic_quotes_gpc , para todo tipos de consultas donde tomemos variables entrantes (POST y GET) ¿ No es necesario usar mysql_escape_string() ? (ya que los " y ' ya vienen con su respectivo slash).

Ya que aplico mysql_escape_string a los datos externos (POST,GET) a las consultas, cuando trabajo con magic_quotes_gpc OFF , tambien le aplico mysql_escape_string a toda consulta con datos internos (variables del script o variables extraidas desde bd,fichero de text, etc ... )


Saludos
  #2 (permalink)  
Antiguo 16/03/2007, 08:27
Avatar de Panino5001
Moderatroll
 
Fecha de Ingreso: mayo-2004
Ubicación: -34.637167,-58.462984
Mensajes: 5.102
Antigüedad: 15 años, 7 meses
Puntos: 791
Re: Magic Quotes y SQL Inyection

Lo recomendable, según el manual es aplicar la función comillas inteligentes:
Código PHP:
<?php
// Aplicar comillas sobre la variable para hacerla segura
function comillas_inteligentes($valor)
{
   
// Retirar las barras
   
if (get_magic_quotes_gpc()) {
       
$valor stripslashes($valor);
   }

   
// Colocar comillas si no es entero
   
if (!is_numeric($valor)) {
       
$valor "'" mysql_real_escape_string($valor) . "'";
   }
   return 
$valor;
}

// Conexion
$enlace mysql_connect('mysql_host''mysql_usuario''mysql_contrasenya')
   OR die(
mysql_error());

// Realizar una consulta segura
$consulta sprintf("SELECT * FROM usuarios WHERE usuario=%s AND password=%s",
           
comillas_inteligentes($_POST['username']),
           
comillas_inteligentes($_POST['password']));

mysql_query($consulta);
?>
Acá lo explican: http://www.php.net/manual/es/functio...ape-string.php
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 22:23.