Tema: Clase MYSQL e Inyecciones
Ver Mensaje Individual
  #1 (permalink)  
Antiguo 23/05/2011, 14:27
Avatar de McBlink
McBlink
 
Fecha de Ingreso: noviembre-2006
Ubicación: $ARG->LaPampa()
Mensajes: 1.694
Antigüedad: 17 años, 5 meses
Puntos: 23
Pregunta Clase MYSQL e Inyecciones
Buenas Tardes,
tengo una clase para realizar la conexión y consultas a la base de datos. Por ejemplo:

Código PHP: 
Ver original
  1. <?php
  2. session_start();
  3. class MySQL{
  4.  
  5.     function MySQL(){
  6.             if(!isset($this->conexion)){
  7.                 $this->conexion = (mysql_connect($this->host,$this->user,$this->pass)) or die(mysql_error());
  8.                 mysql_select_db($this->data,$this->conexion) or die(mysql_error());
  9.             }
  10.         }
  11.         
  12.     function query($consulta) {
  13.         $resultado = mysql_query($consulta,$this->conexion);
  14.         return $resultado; 
  15.     }

de forma tal que llamo a :
Código PHP: 
Ver original
  1. $row = $db->query("SELECT * FROM .....");

Ahora quiero implementar un poco de seguridad a estas consultas, y estuve leyendo bastante pero no me quedo muy claro.

1- validaría los datos por GET y POST antes de realizar la consulta, con funciones como is_numeric() y demás.

2- Aplicaría la función mysql_real_escape().

tengo la duda si esta función la aplico antes de realizar la consulta o en método de la clase que lo ejecuta, en el ejemplo seria en query().
Aplicando estas dos consideraciones, estarian seguras mis consultas?

Muchas Gracias
Saludos