Tema: Seguridad en variables de entrada
Ver Mensaje Individual
  #2 (permalink)  
Antiguo 17/01/2013, 07:47
Avatar de h2swider
h2swider
 
Fecha de Ingreso: julio-2007
Ubicación: Ciudad de Buenos Aires
Mensajes: 932
Antigüedad: 16 años, 9 meses
Puntos: 194
Respuesta: Seguridad en variables de entrada
Cita:
Iniciado por NSD Ver Mensaje
hola que tal, vengo a hacerles una consulta a ver que es lo que usan ustedes o que recomiendan, quiero hacer una funcion que valide entradas de texto ($_POST,$_GET) y las devuelva listas para meterlas en SQL sin riesgo, hise esta funcion pero nose si es suficiente, ustedes que opinan?

Código PHP: 
Ver original
  1. Function ValidaTextoSQL($VAR){
  2.         $VAR = htmlspecialchars(stripslashes($VAR ));
  3.         $VAR = str_ireplace("script", "blocked", $VAR );
  4.         $VAR = mysql_escape_string($VAR );
  5.         Return($VAR);
  6. }

solo nesesito validar texto plano, es decir por ahora no me interesesa conservar ningun tipo de formato html y menos aun javascript, que opinan?
Lo mejor que puedes hacer mas que adultearar los datos como estas haciendo, es bindearlos a las querys que realices.

http://php.net/manual/es/mysqli-stmt.bind-param.php
__________________
Codifica siempre como si la persona que finalmente mantedra tu código sea un psicópata violento que sabe donde vives