mysqli preparestatement htmlentities

ccsaiKo · #1 (**permalink**) 06/12/2011, 22:49

Hola como están campeones?.

Bueno estoy desarrollando una aplicación con mysqli y estoy en una gran duda.

mysqli como sabemos, nos ofrece preparar consultas. (preparestatement),
y me vi en el caso de pedir sus humildes opiniones con respecto a lo sig :

en una parte de la aplicación el usuario puede guardar codigo, y para evitar sql injection estoy transformando lo que el usuario escribe en entidades.(Ya que escribira puro codigo) con htmlentities().

Por lo cual toda la cadena quedara en entidades... ¿ Sera necesario preparar la consulta ?.

Como sabemos, preparar la consulta , atar las variables ( bind ), y ejecutarla
lleva un par de lineas mas que ejecutar un query simple.

Vale la pena hacerlo para ganar rendimiento en el sistema ? (ya que se supone que las consultas preparadas se demoran menos en la ejecución.)

Alguien me podria dar su opinion :) ? Graaaaaaaaaaaacias !

pateketrueke · #2 (**permalink**) 06/12/2011, 23:17

Creo que primero debes tener claros los conceptos de XSS y SQL Injection, porque el convertir las entidades no tiene que ver con SQL Injection pero si con XSS o incluso CSRF.

Igualmente hay dos conceptos que hay que saber manejar: escapar y filtrar.

Escapar caracteres es lo que hacen lo bindings, es lo que hace addslashes(), etc. El resultado es el mismo contenido pero modificado de tal manera que no ocasione problemas al interpretarse.

Por lo tanto el filtrado conserva una parte de los datos intactos mientras que elimina lo que no es permitido o seguro. De cualquier forma el contenido filtrado también debe ser escapado siempre.

El HTML mal formado o malicioso no hace daño mientras esté en la base de datos, cuando trasciende al navegador sin ser filtrado es cuando arruina la cosa.

El SQL mal formado o maleado suele afectar solamente al servidor de base de datos.

En definitiva debes escapar siempre, pero no el HTML!!

Es un error pensar que htmlentities() y similares afectan al SQL pues eso arruina el formato y así hay mas proceso entre escapar y des-escapar las entidades.

Siempre hay que escapar nuestra consultas, no siempre las entidades.

dual3nigma · #3 (**permalink**) 07/12/2011, 00:24

jajaja por lo de nuestras humildes opiniones

Sobre tu tema, el maestro pateketrueke te da una muy buena introducción al tema. mysql prepared statements es tal vez un poco mas un tema de seguridad que de rendimiento

Saludos

ccsaiKo · #4 (**permalink**) 07/12/2011, 07:53

Gracias pateketrueke !.

Ahora bien, que me recomendarias tu hacer para la aplicacion ?

En la cual el usuario pueda guardar codigo , y cuando el quiera mostrarlo en pantalla.

¿Cuales son los pasos que tiene que seguir la cadena en una situacion como esta?

Muchas gracias.