Cita:
Iniciado por raffskizze pero si en ves de usar GET usas POST para pasar los formularios, con la clave y el user y ademas las variables globales a OFF, esta forma de hackear seria inutil desde mi punto de vista... por que no podrian ingresarte variables mediante la url los juakers... como el ejemplo que explico dario dario.
buenas, por el metodo POST no se puede pasar variables ni valores en la URL pero el problema es q este es un punto demaciado facil de saltear, lo esencial de la seguridad contra sql inyeccion es la depuracion de los string en el codigo, a demas de un buen estudio sobre las tablas, ah y sobre todo trata de manejar los errores vos no dejes q los errores q se producen lo informe php porq cuando se producen errores es cuando a los hacker mas informacion se le da, asiq trata de manejar todos los errores...
Spyn_ET tienes razon esa es una forma comoda tambien de de agregar seguridad pero no es del toda segura, por ejemplo supongamos q desarrollamos un paginador de resultados, y cuando queremos ver los otros 30 resultados lo pasamos por URL, la consulta sql quedaria...
Consulta correcta:
Código:
select * from alimentos where = 'manzana' limit 30,30;
Consulta erronea:
Código:
select * from alimentos where = 'manzana' limit '30','30';
pero que pasaria si en vez de pasar numeros el atacante modifica e inyecta otra consulta o un DELETE o lo que sea... ese es un error tipico y en la consulta el limite no se puede poner con comillas, entonces es un error potencial y por lo tanto yo recomiendo acostumbrar la depuracion de string, por ejemplo los valores pasados por GET o POST para la paginacion es convertir la cadena en un integer con
settype($
loquesea,
'integer');...
espero que sea alla entendido....