Esto es seguro ante Inyección SQL

lebniperezmaro · #1 (**permalink**) 09/06/2012, 13:48

Hola, buenas tardes quisiera saber si este pedaso de codigo que inserta a la base de datos es seguro

Código PHP:

  <?if(isset($_POST['nombre'])){  
include_once("config.php"); 
$con=mysql_connect($servidor,$usuario,$passworddb); 
mysql_select_db($db,$con); 
$url = mysql_real_escape_string($_POST['nombre']);   
$query=mysql_query("INSERT INTO alubnos (NOMBRE) VALUES ('$url')"); 
mysql_query($query); 
} 
?>

gldelossantos · #2 (**permalink**) 09/06/2012, 13:58

En verdad el codigo funciona, pero la realidad es que se trabaja menos complejo...

lebniperezmaro · #3 (**permalink**) 09/06/2012, 14:04

Cita:

Iniciado por gldelossantos

En verdad el codigo funciona, pero la realidad es que se trabaja menos complejo...

Explicame como hacerlo

xpapachox · #4 (**permalink**) 09/06/2012, 14:12

Hola.
Ahi unos ejemplos de como hacerlo.

http://informatica-practica.net/solocodigo/index.php/2007/09/06/evitar-inyeccion-sql-ii/#comments

Podrias trabajar con procedimientos almacenados... asi seria mas facil..

#5 (**permalink**) 09/06/2012, 14:18

un ejemplo algo mas elaborado aunque se puede mejorar

Código PHP:

Ver original<?
 
if(isset($_POST['nombre'])){ 
 
include_once("config.php");
 
$con=mysql_connect($servidor,$usuario,$passworddb);
 
mysql_select_db($db,$con);
 
$nombre = strip_tags($_POST['nombre']); 
 
$consulta = sprintf("INSERT INTO alubnos (NOMBRE) VALUES (%s)", mysql_real_escape_string($nombre));
 
$query=mysql_query($consulta);
 
}
?>

pruebalo en tu form introduciendo caracteres de html o php o lo que sea y veras el resultado de lo que guardas para que veas el comportamiento.

realizando una funcion te sera mas facil y no tendras que copiar el codigo en todas las consultas

te recomiendo mirar en el maual de php

addlashes
stripslashes
trim
strtolower
strip_tags
htmlentities
htmlspecialchars
mysql_real_escape_string

por ejemplo . .