Problema clase mysql

Adell · #1 (**permalink**) 10/05/2010, 17:54

Buenas a todos, estoy desarrollando una clase para tener mas a mano las funciones de mysql, el codigo de la parte que nos concierne es el siguiente

Código PHP:

  public function query($sql) { 
        $sql = $this->security($sql); 
        $this->consulta = mysql_query($sql, $this->link); 
        $this->result(); 
    } 
     
    protected function result() { 
        if(is_resource($this->consulta)) { 
            while ($this->fila = mysql_fetch_array($this->consulta, MYSQL_ASSOC)) { 
                $this->salida[] = $this->fila; 
            } 
        } 
    } 
     
    public function security($string) { 
        $string = strip_tags($string); 
        $string = htmlentities($string, ENT_QUOTES, "UTF-8"); 
        $string = mysql_real_escape_string($string); 
        return $string; 
    }

el asunto es que al pasarle el metodo de seguridad me hace mal la cadena de la consulta y me falla el query, sin embargo si uso el metodo security por si solo me devuelve una cadena valida, la verdad estoy medio desconcertado

si llamo a la consulta del query de esta forma y con esta cadena

Código PHP:

  echo $mysql->query("INSERT INTO staff (nombre) VALUES ('<script>alert();</script>')") or die(mysql_error());

me devuelve esto

Código PHP:

  You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''alert();')' at line 1

sin embargo si paso la cadena por el metodo security

Código PHP:

  echo $mysql->security("INSERT INTO staff (nombre) VALUES ('<script>alert();</script>')");

me devuelve

Código PHP:

  INSERT INTO staff (nombre) VALUES ('alert();')

que es una cadena valida....

de antemano gracias
saludos

rpv · #2 (**permalink**) 10/05/2010, 18:40

Le aplica la función security() a la SQL, entonces tu query se debe ejecutar algo así:

Query como es enviada:

Código SQL:

Ver originalINSERT INTO staff (nombre) VALUES ('<script>alert();</script>')

Query resuelta por la función security()

Código SQL:

Ver originalINSERT INTO staff (nombre) VALUES (\'<script>alert();</script>\')

Donde se escapan los caracteres como la comilla simple (').

Adell · #3 (**permalink**) 10/05/2010, 19:06

pero si los caracteres estan escapados no deberia funcionar bien?

edito: entiendo el punto, pero que sugeris para corregirlo?

rpv · #4 (**permalink**) 10/05/2010, 19:12

Cita:

Iniciado por Adell

pero si los caracteres estan escapados no deberia funcionar bien?

edito: entiendo el punto, pero que sugeris para corregirlo?

De esta forma... NO.

Se debe escapar los valores, no la query entera.

ejemplo:

Código PHP:

Ver original$mysql->query("INSERT INTO staff (nombre) VALUES ('".$mysql->security("<script>alert();</script>")."')") or die(mysql_error());

obviamente, se debe quitar la ejecución de security() en la función query() ($sql = $this->security($sql);)

Adell · #5 (**permalink**) 10/05/2010, 19:22

es verdad... estoy escapando la query entera como que recien caigo en eso

gracias por mostrarme la luz
saludos

GatorV · #6 (**permalink**) 11/05/2010, 09:06

Tema movido desde PHP a PHP orientado a objetos