¿Es seguro con esta función?

Pedro_valencia · #1 (**permalink**) 08/12/2008, 05:00

Buenas, esta función:

Código PHP:

      function my_clean($string, $html = FALSE) {
        $string = (get_magic_quotes_gpc() == 0) ? addslashes($string) :
        $string;
        $string = trim($string);
        $string = ($html == TRUE) ? $string :
        htmlspecialchars($string, ENT_QUOTES);
        return $string;
    }

La acabo de crear pero no estoy muy seguro de si protege de las inyecciones SQL.

¿Qué opinais?

Saludos.

Acron_0248 · #2 (**permalink**) 08/12/2008, 05:36

Puede mejorar.

Dependiendo del servidor SQL donde se pretenda insertar datos, hay funciones que son preferibles a utilizar addslashes, por ejemplo, mysql tiene mysql_real_escape_string(), postgresql tiene pg_escape_string().

Cuando no hay nada mejor disponible, entonces addslashes puede funcionar bien, sin embargo, y nuevamente, dependiendo del motor SQL, es posible que sea necesario agregar alguna validación extra para escapar caracteres que addslashes() no escapa.

Además del tema con los motores SQL, en mi particular, es preferible usar htmlentities() a utilizar htmlspecialchars()

Finalmente, al menos yo, no le veo mucho sentido a la utilidad del segundo parámetro, si es una función de validación implica que todo dato o cadena que se valide con esa función no es confiable por dicha razón, no tiene sentido asumir que los datos que pasen por la función serán ya válidos a nivel html. Claro, tampoco se bajo qué condiciones pretendas utilizar la función así que es posible que si tenga sentido el tener ese segundo parámetro.

Pedro_valencia · #3 (**permalink**) 08/12/2008, 06:01

Uso mysql.

Y, ¿htmlentities no convierte todos los carácteres a entidades HTML?

Yo solo quiero convertir los carácteres especiales.

¿La mejorariais? ¿Alguna sugerencia? ¿Alguna función mejor?

¿Qué os parece esta que he encontrado?

Código PHP:

   
if (!function_exists("GetSQLValueString")) { 
function GetSQLValueString($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = "")  
{ 
  $theValue = get_magic_quotes_gpc() ? stripslashes($theValue) : $theValue; 
 
  $theValue = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($theValue) : mysql_escape_string($theValue); 
 
  switch ($theType) { 
    case "text": 
      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL"; 
      break;     
    case "long": 
    case "int": 
      $theValue = ($theValue != "") ? intval($theValue) : "NULL"; 
      break; 
    case "double": 
      $theValue = ($theValue != "") ? "'" . doubleval($theValue) . "'" : "NULL"; 
      break; 
    case "date": 
      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL"; 
      break; 
    case "defined": 
      $theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue; 
      break; 
  } 
  return $theValue; 
} 
}

Un saludo.

codig0 · #4 (**permalink**) 08/12/2008, 06:12

yo uso esta...

Código:

// extraida de t-blog

function escapa($valor){
	if(get_magic_quotes_gpc()) $valor = stripslashes($valor);
	if(!is_numeric($valor)) $valor = mysql_real_escape_string($valor);
return($valor);
}

la cogi de el t-blog de truzone (www.truzone.org), supongo que sera buena, por que si a conseguido crear un nuke que no lo hackean en 10 minutos, supongo que el t-blog sera igual de seguro... y para cuando tiene que ser un numero, como es el caso de las categorias utilizo solo intval($_GET[id])

por ejemplo:

Código:

// solo numeros
$sql = mysql_query("SELECT * FROM categorias where id='".intval($_GET[id])."'");

// escapar caracteres extraños
$sql = mysql_query("SELECT * FROM categorias where id='".escapa($_GET[id])."'");

Pedro_valencia · #5 (**permalink**) 08/12/2008, 07:11

Ok, gracias a los 2.

Voy a usar la de codig0 entonces.

Saludos.