Foros del Web » Programando para Internet » PHP »

Seguridad en URL PHP

Estas en el tema de Seguridad en URL PHP en el foro de PHP en Foros del Web. En mi sistema aparece en la URL esta ruta de mi consulta: Código PHP: http : //localhost/productos.php?id=2  Si le agrego un apostrofe al final Código ...
  #1 (permalink)  
Antiguo 09/11/2010, 20:19
Avatar de bandolera  
Fecha de Ingreso: abril-2009
Mensajes: 604
Antigüedad: 12 años, 8 meses
Puntos: 7
Pregunta Seguridad en URL PHP

En mi sistema aparece en la URL esta ruta de mi consulta:
Código PHP:
http://localhost/productos.php?id=2 
Si le agrego un apostrofe al final
Código PHP:
http://localhost/productos.php?id=2' 
Me muestra un mensaje de error en la ejecución del select.

Cómo puedo corregir esto?
  #2 (permalink)  
Antiguo 09/11/2010, 20:33
Avatar de Sourcegeek
Colaborador
 
Fecha de Ingreso: mayo-2009
Ubicación: $mex['B.C.'];
Mensajes: 1.816
Antigüedad: 12 años, 8 meses
Puntos: 322
Respuesta: Seguridad en URL PHP

Intenta usar mysql_real_escape_string o addslashes ;)
Asi se previenen los ataques SQL
__________________
Buscas desarrollador web? Sourcegeek. Diseño web, Maquetación y Programación
¡Escribe bien! Esto es un foro, no un Facebook para que escribas con los pies
  #3 (permalink)  
Antiguo 10/11/2010, 11:07
Avatar de bandolera  
Fecha de Ingreso: abril-2009
Mensajes: 604
Antigüedad: 12 años, 8 meses
Puntos: 7
Pregunta Respuesta: Seguridad en URL PHP

Cita:
Iniciado por Sourcegeek Ver Mensaje
Intenta usar mysql_real_escape_string o addslashes ;)
Asi se previenen los ataques SQL
Mi función inicial es:
Código PHP:
function buscar($idProd){
       
$query "SELECT id_producto, id_categoria, nombre
                 FROM   producto
                 WHERE id_producto='$idProducto'"
;
       
$BD = new ConexionDB();
       ..... (
sigue
He cambiado por este pero sale un error:
Código PHP:
$query sprintf("SELECT id_producto, id_categoria, nombre
                 FROM   producto
                 WHERE id_producto='%s'"
mysql_real_escape_string($idProducto));
       echo 
$query
El error que sale es:
Código PHP:
SELECT id_productoid_categorianombre FROM producto WHERE id_producto='' 
Qué está mal? Encontré este código [URL="http://www.ribosomatic.com/articulos/como-evitar-sql-injection-en-nuestra-consultas-phpmysql/"]aquí[/URL]

Etiquetas: seguridad, url
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 08:26.