con este codigo que agrega dreamweaver......

etisdemian · #1 (**permalink**) 08/04/2010, 15:32

con este codigo que agrega dreamweaver......no hay necesidad de ningun codigo mass de seguridad?

de casualidad alguien tiene algun link de las pasos que se deverian hacer para seguridad de php?

Código PHP:

Ver original<?php
//cosas de seguridad
if (!function_exists("GetSQLValueString")) {
function GetSQLValueString($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = "") 
{
  $theValue = get_magic_quotes_gpc() ? stripslashes($theValue) : $theValue;
 
  $theValue = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($theValue) : mysql_escape_string($theValue);
 
  switch ($theType) {
    case "text": $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";
      break;    
    case "long":
    case "int": $theValue = ($theValue != "") ? intval($theValue) : "NULL";
      break;
    case "double": $theValue = ($theValue != "") ? "'" . doubleval($theValue) . "'" : "NULL";
      break;
    case "date": $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";
      break;
    case "defined": $theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue;
      break;
  }
  return $theValue;
}
}
 
$editFormAction = $_SERVER['PHP_SELF'];
if (isset($_SERVER['QUERY_STRING'])) {
  $editFormAction .= "?" . htmlentities($_SERVER['QUERY_STRING']);
}
 
  if (get_magic_quotes_gpc()) {
    function stripslashes_deep($value) {
      $value = is_array($value) ? array_map('stripslashes_deep', $value) : stripslashes($value);
      return $value;
      }
    $_POST = array_map('stripslashes_deep', $_POST);
    }
 
 
//fin
?>

millan2525 · #2 (**permalink**) 08/04/2010, 15:35

pon en Google "seguridad php", y fascinarás de lo que puedes encontrar... No sé a que vienes aquí

abimaelrc · #3 (**permalink**) 08/04/2010, 15:40

Ese código trata de evitar que hagan inyecciones a la base de datos. Pero es bueno que te orientes sobre el tema para que verifiques si le faltara algo al código conforme a los datos que estás presentando.

etisdemian · #4 (**permalink**) 08/04/2010, 16:17

Si en realidad y he averiguado.
pero para mi es algo enrredado pues,

al ingresar un dato a la bd devo pasarlo por mysql_real_escape_string()

al recivir un $row de una query devo pasarlo por htmlentities.
Ademas se deven colocar cada vez que aparecen los $row?

pero existen varios otros que si tubiera que aplicarlos todos no se como lo haria, creo que creando una funcion
como esta:

http://www.forosdelweb.com/f18/codigo-seguridad-795120/

gracias