Función escapeString.

vescapam · #1 (**permalink**) 23/05/2012, 18:19

Hola amigos /as mi problema es el siguiente. Quiero proteger mi página contra ataques por inyección de código SQL y para ello uso la función escapeString. ¿Alquien me puede decir porque no me funciona o parentemente queda sin efecto en este código y que debo hacer para solucionarlo muchas gracias....

<?php

function safeQuery($query) {

$db = new SQLite3(dirname(__FILE__) . "/database.db") or die ("Unable to open database");

SQLite3::escapeString($query); # NO ME FUNCIONA.

$result = $db->query($query);
$row = $result->fetchArray();
$db->close();
return $row;
}

function areUserAndPasswordValid($user, $password) {
$query = "SELECT count(*) FROM userTable WHERE username = '$user' AND password = '$password'";
$row = safeQuery($query);
$count = $row[0];
return $count > 0;
}

?>

Triby · #2 (**permalink**) 24/05/2012, 00:31

El problema es que debes escapar campo por campo, no toda la consulta, ejemplo:

Código PHP:

Ver original$query = "SELECT COUNT(*) FROM userTable";
$query .= " WHERE username='" . safeQuery($user) . "' AND password='" . safeQuery($password) . "'";

7d5791 · #3 (**permalink**) 17/11/2014, 21:00

Hola vescapam me gustaría conversar contigo