Tema: Seguridad formulario acceso web
Ver Mensaje Individual
  #4 (permalink)  
Antiguo 30/09/2017, 16:31
Avatar de haggenx
haggenx
 
Fecha de Ingreso: febrero-2007
Ubicación: México
Mensajes: 823
Antigüedad: 17 años, 3 meses
Puntos: 24
Respuesta: Seguridad formulario acceso web
siempre ponle a tu paso de parámetros la funcionalidad para evitar la inyección de comandos por sql:

//thanks to https://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL
//thanks to http://php.net/manual/es/security.da...-injection.php
function getSafeSQL($SQL)
{

$SQL = str_replace("'", "''", $SQL);

$SQL = str_replace("[", "[[]", $SQL);
$SQL = str_replace("%", "[%]", $SQL);
$SQL = str_replace("exec master", "[_]", $SQL);

return $SQL;

}

Ejemplo de uso:

<?

if(isset($_POST["usuario"]))
$usuario = str_replace(chr(34), " ", getSafeSQL(trim($_POST["usuario"])));
else
$usuario = "";

if(isset($_POST["contra"]))
$contra = str_replace(chr(34), " ", getSafeSQL(trim($_POST["contra"])));
else
$contra = "";

$sql = "SELECT * FROM usuarios WHERE usuario='".trim($usuario)."' AND password='".trim($contra)."'";

?>
__________________
Mi blog informático http://marjuanm.blogspot.mx
Fanpage del blog https://www.facebook.com/pages/Mis-p...36397183215592