como puedo hacer segura esta consulta a mi db

primary · #1 (**permalink**) 23/08/2011, 12:47

Hola, quedria saber como puedo hacer segura mi consulta sql, ya que los valores se los paso por url para hacerla dinamica, pero muy segura no es y quisiera saber como evitar esto, mi consulta seria algo como:

Código PHP:

Ver original$sql="select * clientes where pais=".$_GET['pais']."";

los valores los tiene que sacar el usuario de una lista desplegable, segun elija una opcion o tra la consulta cambia, pero claro muy seguro no es, como puedo hacer segura esta consulta dinamica, o es mejor no hacerlo de esta forma.

Alguna opinion de los expertos en php?

gusma62 · #2 (**permalink**) 23/08/2011, 13:05

si $_GET['pais'] se refiere al id (número) del país, puedes hacer lo siguiente:

Código PHP:

Ver original$pais = (int)$_GET['pais'];
$sql="select * clientes where pais=".$pais."";

Esto solo funciona con este tipo de consultas numéricas

Ronruby · #3 (**permalink**) 23/08/2011, 13:23

Siempre y cuando sea numerico, con pasarlo a entero bastara.
En cuanto a las cadenas, tendras que usar mysql_real_escape_string() (Si utilizas MySQL, sino, busca el equivalente para tu motor de BD)

iviamontes · #4 (**permalink**) 23/08/2011, 13:23

busca sobre esto

is_int
is_numeric

primary · #5 (**permalink**) 23/08/2011, 13:26

Gracias a todos por vuestra colaboracion, realmente son datos numericos, osea que como dijo el experto gusma62 ya no es vulnerable a inyeccion mi consulta?

Saludos.

Sourcegeek · #6 (**permalink**) 23/08/2011, 13:38

Ya no será vulnerable, pues (int) convierte la cadena a tipo integer, y en sólo integer no se puede inyectar. Intenta esto y verás el resultado:

Código PHP:

Ver original$var = 'holaejemplo1243432';
echo (int)$var;
 
$varr = '23223';
echo (int)$var;

Saludos!

andresdzphp · #7 (**permalink**) 23/08/2011, 13:50

También puedes usar la función sprinf

Código PHP:

Ver original$sql = sprintf("select * clientes where pais=%d", $num);

primary · #8 (**permalink**) 23/08/2011, 13:56

Sourcegeek gracias por tu aclaracion, andresdzphp lo tendre en cuenta, bueno me quedo claro cuando los valores son enteros pero si el valor que se pasa es una cadena de alpha numerica? que me aconsejais?

andresdzphp · #9 (**permalink**) 23/08/2011, 13:58

En ese caso puedes hacer algo así:

Código PHP:

Ver original$query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
            mysql_real_escape_string($user),
            mysql_real_escape_string($password));

Lee sobre la función mysql_real_escape_string, ayuda bastante en casos de inyección

masterpuppet · #10 (**permalink**) 23/08/2011, 13:59

Que tal primary,

Primero bienvenido al foro y segundo te sugiero que utilices PDO y Prepared Statements.

Saludos.

primary · #11 (**permalink**) 23/08/2011, 14:18

Gracias de nuevo andresdzphp por tu ayuda y masterpuppet gracias por la informacion eso es lo que queria.

Saludos.