sobre seguridad...

hector2c · #1 (**permalink**) 10/01/2010, 09:55

pues, tengo la siguiente funcion para evitar inyección sql:

Código PHP:

  function fn_filtro($cadena) { 
    if(get_magic_quotes_gpc() != 0) { 
        $cadena = stripslashes($cadena); 
    } 
    return mysql_real_escape_string($cadena); 
}

mi pregunta es, en caso desee modificar un registro, pues envio a la pagina el id: modificar.php?ide_mat=7

y luego hago una consulta de este tipo:

Código PHP:

  //ante comparo si el $_GET contiene valores, en caso no tengo doy redirección 
 
$sql = sprintf("select * from biblio_materia where est_eli_mat=0 and ide_mat=%d", 
    fn_filtro((int)$_GET['ide_mat']) 
); 
 
//obtengo la cantidad de resultados, en caso sea distinto a 1, redirecciono. 
//en caso haya 1 resultado muestro los datos..

lo que deseo es evitar que hagan cosas como esta: modificar.php?ide_mat=asdfa85asdfas

creen que es suficiente con el %d (segun entiendo, da formato decimal), o tambien siempre es necesario agregar el (int), para convertir en entero el $_GET...

lo que deseo es no cargar con conversiones el script: (int), deseo que sea limpio, ligero... muchas gracias...

pateketrueke · #2 (**permalink**) 10/01/2010, 11:39

en todo caso... %d hace lo mismo que (int), entonces tampoco sería necesaria tu función fn_filtro() si el valor es meramente numérico...

y por lo general deberías utilizarla si el valor es string... ;)