Foros del Web » Programando para Internet » PHP »

Seguridad "sql injection"

Estas en el tema de Seguridad "sql injection" en el foro de PHP en Foros del Web. Me gustaria saber sus opiniones sobre seguridad. Estoy desarrollando una aplicación web y un requisito que me pidieron es mantener la seguridad de los datos.. ...
  #1 (permalink)  
Antiguo 05/02/2009, 11:36
Avatar de dadabit  
Fecha de Ingreso: febrero-2009
Ubicación: Coahuila, México
Mensajes: 145
Antigüedad: 10 años, 10 meses
Puntos: 1
Pregunta Seguridad "sql injection"

Me gustaria saber sus opiniones sobre seguridad.
Estoy desarrollando una aplicación web y un requisito que me pidieron es mantener la seguridad de los datos..
mi pregunta es:
¿qué es mejor usar?

hacer los querys con sprintf
ejemplo:
$select2=sprintf("SELECT id_alumno, apellido, nombre, opcion1, estado FROM alumno
WHERE MATCH (nombre,apellido) AGAINST ('$nombre')
ORDER BY apellido",addcslashes(mysql_real_escape_string($autor_nombre),'%_'));

o utilizar store procedures desde mysql.

Creo que lo segundo conviene por tiempo de respuesta mas rápido....

espero sus sugerencias..

Gracias
  #2 (permalink)  
Antiguo 05/02/2009, 12:05
Avatar de cesarpunk  
Fecha de Ingreso: enero-2008
Ubicación: Lima
Mensajes: 943
Antigüedad: 11 años, 10 meses
Puntos: 9
Respuesta: Seguridad "sql injection"

Pues yo ejecuto mis procedimientos almacenado con clases.... pero aun asi yo uso sentencias sql como parametro osea: $clase->ejecutarProc($sql);

Pero en la misma sentencia sql siempre pongo el : mysql_real_escape_string($id) en caso pongo una variable por ahi... pero no se si sera completamente segura... saludos
  #3 (permalink)  
Antiguo 05/02/2009, 12:18
Avatar de GatorV
$this->role('moderador');
 
Fecha de Ingreso: mayo-2006
Ubicación: /home/ams/
Mensajes: 38.567
Antigüedad: 13 años, 6 meses
Puntos: 2135
Respuesta: Seguridad "sql injection"

Las stored procedures no te brindan más seguridad, ni nada, es cuando requieres hacer un procedimiento que requiere más consultas.

Lo mejor para mantener un control es usar prepared statements así puedes filtrar el dato de cada variable, si usas PHP5, puedes usar PDO.

Saludos
  #4 (permalink)  
Antiguo 05/02/2009, 12:39
Avatar de dadabit  
Fecha de Ingreso: febrero-2009
Ubicación: Coahuila, México
Mensajes: 145
Antigüedad: 10 años, 10 meses
Puntos: 1
Respuesta: Seguridad "sql injection"

ok.
Has resuelto mis dudas y he tomado una desición...
Gracias Gracias
  #5 (permalink)  
Antiguo 05/02/2009, 14:42
Avatar de cesarpunk  
Fecha de Ingreso: enero-2008
Ubicación: Lima
Mensajes: 943
Antigüedad: 11 años, 10 meses
Puntos: 9
Respuesta: Seguridad "sql injection"

he leido sobre los prepared statements y me parece una solucion realmente sencilla, creo que la comenzare a aplicar, gracias por el dato ...
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 03:12.