Seguridad en consulta MySQL

king95 · #1 (**permalink**) 25/12/2011, 16:23

Este código les parece seguro para hacer una consulta a MySQL por parte de la url, es decir: http://page/hash << hash es la consulta

Código PHP:

  require_once("../php/conf.php"); 
$conf = new configuration(); 
$link = $conf->connect(); 
function get_url() { 
  $parametros = array(); 
  $url = parse_url($_SERVER['REQUEST_URI']); 
  foreach(explode("/", $url['path']) as $p) 
    if ($p!='') $parametros[] = $p; 
  return $parametros; 
} 
 
mysql_select_db($conf->database_1,$link); 
 
$url=get_url(); 
$hash = $url[1]; 
 
$searchSQL = sprintf("SELECT *  FROM `sys.user` WHERE `hash` = '%s' LIMIT 1", 
                    mysql_real_escape_string(addslashes($hash)) 
             ); 
 
$searchQUERY = mysql_query($searchSQL);

Sourcegeek · #2 (**permalink**) 25/12/2011, 17:24

¿Seguro en qué sentido? Hay diferentes tipos de seguridad, ya sea prevenir XSS, SQLi....

chalnet · #3 (**permalink**) 25/12/2011, 18:53

Si te refieres a inyecciones sql esta bastante bien con respecto a la seguridad , pero recuerda que la inyeccion sql depende la creatividad y la capacidad del atacante, trata de crear una funcion para codificar la url si puedes y despues decodificarla, tambien trata de burlar los caracteres hexadecimales, etc ... recuerda nunca hay una seguridad extrema pero trata por lo menos de dificultar a los atacantes novatos pero dentro de todo esta bastante seguro.
Un saludo