Protegerte de Inyeccion SQL

Lophophora · #1 (**permalink**) 19/05/2008, 16:05

Hola a todos

para protegerte de la inyeccion SQL es suficiente la funcion mysql_real_escape_string o necesitas algo mas?

Saludos y gracias

Lophophora

#2 (**permalink**) 19/05/2008, 16:27

Addslashes, si no tienes activada magic_quotes. Menos mal que en PHP6 se elimina esa directiva y se aplican siempre las comillas. Aquí tienes más consejos:

http://es.php.net/manual/es/security...-injection.php

Suerte!

Lophophora · #3 (**permalink**) 19/05/2008, 17:00

esto es lo que te refieres?

Código PHP:

  if (get_magic_quotes_gpc()) {$name = stripslashes($name);} 
else{$name=  addslashes($name);} 
$name = mysql_real_escape_string($name); 
mysql_query("SELECT * FROM users WHERE name='$name'");

Saludos

Lophophora

kaninox · #4 (**permalink**) 19/05/2008, 18:53

tengo una duda yo utilizo este codigo para mis paginas en donde controlo los accesos

Código PHP:

  <?php 
include "includes/conectar.php";   //conexion a base de datos.  
 
function limpiaCadena ($cadena) 
{ 
if (!get_magic_quotes_gpc()) 
$cadena=mysql_real_escape_string($cadena); 
return $cadena; 
}  
 
$con = sha1($_POST[contrasena]); // encriptamos la contraseña 
/* ¿El usuario existe? */ 
$busca_usuario=mysql_query("SELECT * FROM usuarios" 
." WHERE USER='$_POST[usuario]'" 
." AND PASSWORD = '$con'"); 
//comparamos los parametros.... 
//si el usuario es igual al que ingresamos 
//y si la contraseña encriptada es la misma 
//que esta en la base de datos encriptada igualmente.... 
 
if(mysql_num_rows($busca_usuario)==1) // Los datos son validos 
{ 
/* Crear la sesion y sus variables ... */ 
/* Redireccionar */ 
session_start(); // Definimos la sesion para aplicarle seguridad a nuestras paginas internas... 
$_SESSION['usuario_activado']=limpiaCadena($_POST['usuario']); 
$_SESSION["usuarioincorrecto"]= "Yes"; 
     
header ("Location: site/index.php"); 
} 
else // Acceso invalido 
{ 
//si es invalido guardo ip y fecha para bloquear numero max de accesos.... 
$ip = $_SERVER[REMOTE_ADDR]; 
$fecha = date("Y-m-d"); 
                 
         mysql_query ("INSERT INTO flood_login" 
                ." (ip, fecha)" 
                ." Values" 
                ." ('$ip', '$fecha')") or die ("Error ".mysql_error()); 
                 
header("Location: index.php?errorpagina=ok"); 
} 
?>  
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

ahora mi pregunta es cuando hago mi funcion limpiaCadena seria mejor aplicarla antes de modo

que en la consulta valla limpia?? :/ no se me entro la duda al ver esto y al tratar de aplicarle lo de las barritas

o sea hacer

Código PHP:

  //declarar una variable $usuario_activate limpiar la cadena 
$usuario_activate = limpiaCadena($_POST['usuario']); 
$con = sha1($_POST[contrasena]); // contraseña 
/* ¿El usuario existe? */ 
$busca_usuario=mysql_query("SELECT * FROM usuarios" 
//aqui aplicar la consulta con la cadena limpia???? 
." WHERE USER='$usuario_activate'" 
." AND PASSWORD = '$con' "); 
 
if(mysql_num_rows($busca_usuario)==1) // Los datos son validos 
{ 
/* Crear la sesion y sus variables ... */ 
/* Redireccionar */ 
session_start(); // Definimos la sesion para aplicarle seguridad a nuestras paginas internas... 
//aqui ademas definir la session_name??? creo que es lo mismo no :/  
$_SESSION['usuario_activado']=$usuario_activate;

si encuentran como queda mejor y que se le puede agregar se los agradeceria :D

por cierto añado encontre hace un tiempo esta web pero no la he ocupado nunca se supone pone una especie de firewall bueno uds. me diran que tal

http://code.google.com/p/inspekt/