Prevenir SQL Injection en Matriz POST

sofway · #1 (**permalink**) 16/07/2008, 17:24

Buenas tardes,

Es bien sabido que es necesaria la utilización de mysql_real_escape_string() para asegurar el contenido de una variable antes de introducirla en una base de datos.

La situación que se me presenta es que en mis matrices $_POST y $_SESSION contengo una gran cantidad de variables, todas ellas para ser insertadas en una base de datos.

Existe alguna clase o función que sea confiable para que reciba las dos matrices y les aplique el mysql_real_escape_string() a cada variable para despues poderlas insertar de manera segura?

Mil gracias

LoveMeNot · #2 (**permalink**) 16/07/2008, 17:49

Código PHP:

  foreach($_POST as $clave => $variable) {
  if (get_magic_quotes_gpc()) $variable = stripslashes($variable);
  $_POST[$clave] = mysql_real_escape_string($variable);
}

Quedaría hacer lo mismo para $_SESSION, aunque en realidad no hace falta porque se almacenan en el lado del servidor. Otra cosa sería si fueran cookies en vez de sesiones.

sofway · #3 (**permalink**) 16/07/2008, 17:50

Perfecto!
Gracias

sofway · #4 (**permalink**) 16/07/2008, 17:58

mmmm, se me presenta una situación con la solución planteada. Dentro de la matriz $_POST existen algunas posiciones que son vectores, para los cuales recibo un warning alertandome que mysql_real_escape_string() estaba esperando un string y recibió un array(). No quisiera que este array se quedara sin ser filtrado.

Alguna sugerencia?

sofway · #5 (**permalink**) 16/07/2008, 18:00

se me ocurre que depronto utilizando la función is_array() de manera recursiva podría seguir iterando con foreach...

Que dicen?

LoveMeNot · #6 (**permalink**) 16/07/2008, 18:02

Exactamente :)