Seguridad

luks77 · #1 (**permalink**) 05/02/2010, 19:24

Hola a todos, tengo una gran problema.

Estoy haciendo una pagina en la cual el usuario interactua constantemente con la base de datos. Tengo miedo de que me cause problemas en un futuro.

Un amigo me paso este codigo, pero estoy intranquilo, quiero saber si es suficiente o se puede perfeccionar mas

Código PHP:

  function antisqlinyection($theValue,$longitudmax) { 
 
  $theValue = get_magic_quotes_gpc() ? stripslashes($theValue) : $theValue; 
 
  $theValue = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($theValue) : mysql_escape_string($theValue); 
 
 $theValue = strip_tags($theValue); 
 $theValue = substr($theValue, 0, $longitudmax); 
 $theValue = htmlentities($theValue); 
 
  return $theValue; 
 
}

Bueno, muchas gracias...

David · #2 (**permalink**) 05/02/2010, 20:14

Sí es suficiente. De hecho, dependiendo del tipo de dato que recibes, ya es exagerado. No siempre es conveniente quitar los tags HTML (strip_tags) o convertirlo a entidades (htmlentities), con eso ya debes preocuparte a la hora de mostrar los datos y no necesariamente a la hora de guardarlos, a la hora de guardarlos con mysql_real_escape_string te aseguras de que no apliquen inyección SQL.

morior · #3 (**permalink**) 06/02/2010, 03:07

Parece un código muy interesante, lo voy a testear y muchas gracias por el aporte david.

MaBoRaK · #4 (**permalink**) 06/02/2010, 04:32

loading...........

Hola, mas que eso yo siempre sugiero aplicar la seguridad en la ETAPA FINAL del proceso, con esto me refiero a que apliques la seguridad dentro del método o función (que espero sea solo una) para grabar en la base de datos (la función donde se encuentra el mysql_query u otro).

De esta forma aunque SE TE OLVIDE hacer un escape_string el sistema lo aplicará automáticamente. y te evitas llamar a tu función de "escapeado" en cada consulta

saludos.

connection closed.

morior · #5 (**permalink**) 06/02/2010, 11:18

Cita:

Iniciado por MaBoRaK

loading...........

Hola, mas que eso yo siempre sugiero aplicar la seguridad en la ETAPA FINAL del proceso, con esto me refiero a que apliques la seguridad dentro del método o función (que espero sea solo una) para grabar en la base de datos (la función donde se encuentra el mysql_query u otro).

De esta forma aunque SE TE OLVIDE hacer un escape_string el sistema lo aplicará automáticamente. y te evitas llamar a tu función de "escapeado" en cada consulta

saludos.

connection closed.

Hola MaBoRaK un par de comentarios. Me interesa bastante esto que has puesto aquí sobre la etapa final, yo estoy en la misma tesitura que el que ha abierto el tema y la verdad es que creo que tu opción debe de ser la más adecuada. Yo como que soy un cazurro y hago auténticas barbaridades te querría pedir si eres tan amable de poner un ejemplo (algo sencillo e iliustrativo de cómo lo harías). Muchas gracias por adelantado.

A, el segundo comentario, he querido entrar en el enlace que tienes en la firma para ver tu página pero parece que el enlace está roto. Supongo que ya lo debes saber pero es para que lo actualices si quieres.

Saludos.

luks77 · #6 (**permalink**) 07/02/2010, 18:43

Cita:

Iniciado por morior

Hola MaBoRaK un par de comentarios. Me interesa bastante esto que has puesto aquí sobre la etapa final, yo estoy en la misma tesitura que el que ha abierto el tema y la verdad es que creo que tu opción debe de ser la más adecuada. Yo como que soy un cazurro y hago auténticas barbaridades te querría pedir si eres tan amable de poner un ejemplo (algo sencillo e iliustrativo de cómo lo harías). Muchas gracias por adelantado.

A, el segundo comentario, he querido entrar en el enlace que tienes en la firma para ver tu página pero parece que el enlace está roto. Supongo que ya lo debes saber pero es para que lo actualices si quieres.

Saludos.

Si por favor, si alguien pueda dar un ejemplo de lo que dijo MaBoRaK, nos haria un gran favor