Tema: Seguridad en mysql_connect()
Ver Mensaje Individual
  #4 (permalink)  
Antiguo 30/12/2010, 09:51
Avatar de Gambinoh
Gambinoh
 
Fecha de Ingreso: diciembre-2010
Mensajes: 348
Antigüedad: 13 años, 5 meses
Puntos: 11
Respuesta: Seguridad en mysql_connect()
Bién ya me ha quedado claro que algunos métodos buenos para asegurar la conexión a la base de datos son:

A) Colocar el archivo fuera de la carpeta del Document Root.

http://www.forosdelweb.com/f18/archivo-fuera-del-root-408707

B) Encriptar con md5 o AES en una función.

Bien ahora mi duda es la siguiente, según me comenta arriba carlos_belisario lo más peligroso pueden ser las inyecciones sql en las consultas.

Yo en mi código uso mysql_real_escape_string() antes de los $_GET por ejemplo:

Código PHP: 
Ver original
  1. $id = mysql_real_escape_string($_GET['id']);

Pero en el query no lo uso, mi código para el query es:

Código PHP: 
Ver original
  1. $sql = "SELECT * FROM tabla WHERE campo = '$id' ORDER BY id ASC  LIMIT $inicio, $fin";
  2.  
  3. $query = mysql_query($sql);
  4.  
  5. //Imprimo el query con un while...
  6.  
  7. while($fila = mysql_fetch_assoc($query)) {
  8.     echo $fila['campoíndice'];
  9. }

¿Veis mejoras para evitar las inyecciones sql en estos querys?

La página en un par de dias se sube al servidor y os agradecería muchísimo que aunque sea me recomendarais un link o me dijerais cómo le dariais seguridad.


Gracias por vuestra colaboración ^^