Seguridad datos recividos por get

dhayzon · #1 (**permalink**) 23/09/2016, 21:48

tengo una consulta y una duda

tengo una consulta MSQL para seleccionar X columna y recoger X Datos

Ejemplo

Código HTML:

Ver originalif(isset($_request['valor']) && !empty($_request['valor']) ){
  
   entonces aqui digo o hago la consulta 
       if($_request['valor'] =='persona') 
 
         $from = 'user_id';
 
}

luego uso
$from como una opción dentro de la consulta

$from

hay manera de que rompan if($_request['valor'] =='persona')

y consigan que les de un true?

soy nuevo en esto

AngelKrak · #2 (**permalink**) 23/09/2016, 23:40

como no estoy muy seguro lo que se me ocurrio es hacer una funcion parecida a la de mysqli mysql_real_escape_string para evitar ataques contra la base de Datos...

La funcion lo que haria es Obtener el Texto que fue enviado y Reemplazar las Comillas con Escape:

Código PHP:

Ver original$escape = str_replace("'", "\'", $_request['valor']);
if(isset($escape) && !empty($escape) ){
  
   entonces aqui digo o hago la consulta 
       if($escape == 'persona') 
 
         $from = 'user_id';
 
}

Lo hice sin probar, pero creo que no tiene ningun error y debe de funcionar(aun que nose si sea seguro)

pateketrueke · #3 (**permalink**) 24/09/2016, 11:08

Cita:

hay manera de que rompan if($_request['valor'] =='persona')

y consigan que les de un true?

No, no se puede "romper" una condición lógica estática que es inamovible.

Es decir, mientras un lado de la expresión siempre sea fija y el origen de la otra expresión nunca cambie, entonces jamás pasará algo mal ahí.

Cita:

como no estoy muy seguro lo que se me ocurrio es hacer una funcion parecida a la de mysqli mysql_real_escape_string para evitar ataques contra la base de Datos...

1. Escapar dichos datos antes de hacer una comparación en PHP es sencillamente inútil.

Los datos no hacen daño sino hasta que se introducen a la base de datos, y justo ahí es donde uno debe escapar apropiadamente: no antes.

2. Es un error pensar que por "sanitizar" los datos al recibirlos evitamos ataques.

De hecho usar tus propias funciones sólo empeora las cosas, lo correcto es usar consultas preparadas y dejar que el driver de la base de datos haga su trabajo.

¿O no preparas tus consultas?