Evitar Inyección SQL en campos de texto

LhaN · #1 (**permalink**) 08/09/2011, 08:04

Buenas gente, a ver si pueden darme una mano. Necesito filtrar posibles inyecciones SQL en un campo de texto, texto que será almacenado en una base datos. No puedo filtrar las palabras reservadas de SQL por que son palabras que posiblemente se usen realmente como parte del texto, y he visto inyecciones sql que no usan comillas así que con escapar comillas no me es suficiente, además es posible que también se usen símbolos % -- etc, por lo cual no puedo filtrarlos.

Como puedo encarar el tema? hay alguna manera de que al concatenar la variable con el texto a la consulta de update o insert, mantener el texto tal cual evitando la inyección SQL?

blakmetall · #2 (**permalink**) 08/09/2011, 08:17

el mysql_real_escape_string($campo), no te funciona??? con ese se escapan los caracteres especiales.

PIRRUMAN · #3 (**permalink**) 08/09/2011, 09:01

podrias poner un ejemplo de que es lo quieres realizar?

LhaN · #4 (**permalink**) 08/09/2011, 09:24

http://php.net/manual/es/function.my...ape-string.php
Nota: mysql_real_escape_string() no escapa % y _. Estos son comodines en MySQL que se combinan con LIKE, GRANT, o REVOKE.

El manual dice que no se escapan, no entiendo, estas seguro que los escapa, como dije, he visto inyecciones que son muy complejas y que no usan comillas, pero usan caracteres especial.

Basicamente el campo de texto se usaria para enviar mensajes entre usuarios. Los mensajes pueden ser de cualquier tipo y pueden ser en ingles, por lo tanto no puedo filtrar select drop etc, tampoco puedo filtrar simbolos especiales como & o %. Si un usuario quiere enviar justamente un ejemplo de inyeccion sql, como hago para que la inyeccion sql se mantenga como texto?

Como se hace en los foros para evitar la inyeccion sql en los post? simplemente usan mysql_real_escape_string()???

PIRRUMAN · #5 (**permalink**) 08/09/2011, 09:34

tal vez esto ayude

Cita:

$SQL = addslashes($SQL);
$stmt="INSERT INTO mi_tabla set conversacion=\"$SQL\";";

LhaN · #6 (**permalink**) 08/09/2011, 09:44

Cita:

Iniciado por PIRRUMAN

tal vez esto ayude

Que es lo mismo que usar mysql_real_escape_string(). De todas formas no me convence que sea eso lo que usan en el caso de los post.

nocturnoa · #7 (**permalink**) 08/09/2011, 10:57

si quires que te ayudemos trata de darnos ejemplos reales, para ver el codigo y poder ayudarte, solo con sprintf y mysql_real_escape_string creo que es ya suficiente

LhaN · #8 (**permalink**) 08/09/2011, 11:02

El ejemplo real viene a ser un post en un foro como los de este foro, donde uno mete codigo (por poner un ejemplo, una inyeccion sql) y esta se guarda como texto sin afectar nada.

nocturnoa · #9 (**permalink**) 08/09/2011, 11:17

mysql_set_charset(CODIFICACION,$conexion);
if(get_magic_quotes_gpc()==1)
$query="insert into noticia values(null,'$titulo','$cuerpo','$foto','$fecha',' $tipo','$usuario')";
else
$query = sprintf("insert into noticia values(null,'%s','%s','$foto','$fecha','$tipo','$u suario')",mysql_real_escape_string($titulo),mysql_ real_escape_string($cuerpo));

supongamos que meto en cuadro de texto titulo esto ');select * from noticia;

imprimiria una ves abierta la noticia esto : ');select * from noticia;

LhaN · #10 (**permalink**) 08/09/2011, 11:29

Gracias, entonces eso es lo que me estaba faltando, usar el sprintf. Gracias.