Tema: Soluciones a inyección SQL y captcha
Ver Mensaje Individual
  #7 (permalink)  
Antiguo 07/02/2013, 21:22
leonbis
 
Fecha de Ingreso: enero-2011
Ubicación: España
Mensajes: 7
Antigüedad: 14 años, 9 meses
Puntos: 0
Respuesta: Soluciones a inyección SQL y captcha
Hola yo también quiero aportar algo.
Este método es para protegernos de un ataque mediante inyección de sql, podemos ponerlo en nuestra clase.

Código PHP: 
Ver original
  1. public static function parsearParametros ( $param ) {
  2.  
  3.         $cross_site_scripting = array ( '@<!--]*?>.*?// -->@si',
  4.  
  5.                                  '@<[\/\!]*?[^<>]*?>@si' );
  6.  
  7.         $inyeccion_sql = array (
  8.  
  9.                                  '/\bAND\b/i', '/\bOR\b/i',
  10.  
  11.                                  '/\bSELECT\b/i', '/\bFROM\b/i',
  12.  
  13.                                  '/\bWHERE\b/i', '/\bUPDATE\b/i',
  14.  
  15.                                  '/\bDELETE\b/i', '/\b\*\b/i',
  16.  
  17.                                  '/\bCREATE\b/i', '/\bDROP\b/i' );
  18.  
  19.         $retorno = preg_replace ( $inyeccion_sql, "", $param );
  20.  
  21.         $retorno = preg_replace ( $cross_site_scripting, "", $retorno );
  22.  
  23.         $retorno = strip_tags( $retorno, ENT_QUOTES );
  24.  
  25.         return trim( $retorno );
  26.  
  27.     }

A continuación debemos pasar nuestras variables por el método.

ejemplo.

$Mivariable=$_GET["Mivariable"];

parsearParametros ( $Mivariable );

Y así estaremos algo mas protegidos ante algun ataque de inyección sql.
Última edición por leonbis; 07/02/2013 a las 21:25 Razón: no puse tíldes..