Sobre la inyeccion SQL

jemarquesini · #1 (**permalink**) 02/02/2009, 12:10

Buenas

He estado leyendo sobre el tema de la inyeccion SQL, bastante jodido si trabajamos con bases de datos.

He visto que hay metodos para evitarlo, como usar addslashes o mysql_real_escape_string(), pero me parece que para hacer llamadas a bases de datos en las que intervengan un monton de registros, puede convertirse en algo bastante bastante engorroso

Mi pregunta es la siguiente: ¿es importante tenerlo en cuenta? ¿Es practico usar sistemas que eviten esto?

Ronruby · #2 (**permalink**) 02/02/2009, 12:15

mysql_real_escape_string() solo se usa para insertar los datos, no tienes que hacer una llamada a dicha funcion para recoger datos, por lo que no tienes que preocuparte.

Y claro que es importante tener en cuenta la inyeccion SQL, hay muchos usuarios maliciosos que pueden costarnos muy caro sino tomamos las precauciones necesarias.

Imaginate que un usuario no deseado obtenga acceso como administrador a tu sitio, ¿que desastre no?
Si quieres tener aun mas seguridad, no te conectes a la base de datos usando PHP mediante un usuario que tenga todos los permisos, solo los necesarios (usualmente SELECT, INSERT, DELETE y UPDATE).

jemarquesini · #3 (**permalink**) 02/02/2009, 17:35

Cita:

Iniciado por Ronruby

Si quieres tener aun mas seguridad, no te conectes a la base de datos usando PHP mediante un usuario que tenga todos los permisos, solo los necesarios (usualmente SELECT, INSERT, DELETE y UPDATE).

¿Como hago para cambiar los permisos de los usuarios? No se mucho sobre esto. ¿Es acaso a traves del panel de control del servidor?

Ronruby · #4 (**permalink**) 02/02/2009, 20:15

Puedes hacerlo directamente desde SQL, ejecutando la siguiente consulta:

Código sql:

Ver originalGRANT SELECT, INSERT, UPDATE, DELETE
ON bbdd.*
TO usuario@localhost IDENTIFIED BY 'contrasena';