Como validar para evitar inyecciones de codigo?

karenlorenadg · #1 (**permalink**) 06/08/2020, 12:45

Hola amigos, quisiera ayuda de parte de ustedes, tengo este sistema de subir imagenes a mi servidor, pero quiero que no vayan a inyectarme codigo malisioso ya que este formulario estará al publico.

Agradezco su ayuda por favor. Este es mi codigo que registra.

Código PHP:

  <?php 
include("logica/conexion.php"); 
 
$target_dir = "./img_certific/"; 
$target_file = $target_dir . date('Ymd-His') . '_' . basename($_FILES["comprobante"]["name"]); 
$uploadOk = 1; 
$imageFileType = pathinfo($target_file,PATHINFO_EXTENSION); 
// Check if image file is a actual image or fake image 
if(isset($_POST["submit"])) { 
    $check = getimagesize($_FILES["comprobante"]["tmp_name"]); 
    if($check !== false) { 
        //echo "File is an image - " . $check["mime"] . "."; 
        $uploadOk = 1; 
    } else { 
        //echo "File is not an image."; 
        $uploadOk = 0; 
    } 
} 
 
 
 
if($imageFileType != "jpg" && $imageFileType != "png" && $imageFileType != "jpeg" 
&& $imageFileType != "gif" ) { 
    //echo "Sorry, only JPG, JPEG, PNG & GIF files are allowed."; 
    $uploadOk = 0; 
} 
 
// Check file size 
 
 
 if (move_uploaded_file($_FILES["comprobante"]["tmp_name"], $target_file)) { 
        //echo "El archivo ". basename( $_FILES["foto_1"]["name"]). " ha sido cargado."; 
    } else { 
        //echo "Sorry, there was an error uploading your file."; 
    } 
 
$sql="insert into table_certificados values  
(null,'".$_POST["nombres"]."','".$_POST["email"]."','".$_POST["grado"]."','".$_POST["ano_curso"]."','".$target_file."','".$_POST["mensaje"]."',now()) 
"; 
 
$res = mysqli_query($conectar, $sql); 
 
 
echo "<script type=''> 
    alert('Articulo realizado correctamente'); 
    window.location='cert_estudio.php'; 
</script>"; 
 
?>

Alexis88 · #2 (**permalink**) 07/08/2020, 14:16

Puedes recurrir a las funciones que ofrecen extensiones como PDO o MySQLi e incluso utilizar expresiones regulares.

Una forma rápida y simple consiste en utilizar las funciones strip_tags y mysqli_real_escape_string:

Código PHP:

Ver original$email = mysqli_real_escape_string($conexion, strip_tags($_POST['email']));

Existen otras funciones que pueden darte resultados similares o mejores. Te sugiero hacer una búsqueda al respecto.