Como Evitar injection sql

dquispe · #1 (**permalink**) 12/11/2009, 07:34

Hola a todos, tengo una curiosidad como podemos evitar una injection sql, se que es de un tema vital eso en una web quien me podria dar ... ejemplos o explicarme mas d ese tema gracia..

abimaelrc · #2 (**permalink**) 12/11/2009, 07:39

Pero ¿que haz encontrado en internet? Te sugiero que mientras averiguas en internet vayas verificando sobre la funcion mysql_real_escape_string.

Caco_Patane · #3 (**permalink**) 12/11/2009, 08:53

Tambien podes utilizar alguna abstraccion de base de datos que se encargan de escapar/sanitizar las querys automaticamente. Si utilizas algun framework de PHP (CodeIgniter, Kohana, etc), tanto las librerias de DB, ActiveRecord y ORM contemplan sanitizacion de parametros para evitar inyeccion de SQL.

Ademas, estos frameworks, sanitizan los parametros de POST/GET y tienen filtros para evitar XSS.

dquispe · #4 (**permalink**) 12/11/2009, 09:39

Ok buscare mas info sobre ese tema, haber que es lo que puedo encontrar.

Pero para evitar esas inyection tgo que utilizar un respectivo codigo en cada pagina tambien eh escuchado con el php.ini configurarlo.

Caco_Patane · #5 (**permalink**) 12/11/2009, 09:53

Cita:

Iniciado por dquispe

Ok buscare mas info sobre ese tema, haber que es lo que puedo encontrar.

Pero para evitar esas inyection tgo que utilizar un respectivo codigo en cada pagina tambien eh escuchado con el php.ini configurarlo.

Sinceramente, nunca toque mucho del php.ini respecto a evitar XSS o SQL Inyection. Podes armarte unas librerias como las que usan los frameworks:

Código php:

Ver original$var = $this->input->post('variable1'); // falso si la variable no existe, variable sanitizada (filtros XSS) si la variable existe.
 
$this->db->query('SELECT * FROM table WHERE var = ?', array($var)); // el metodo query de la libreria DB como primer parametro utiliza una query con ? en vez de variables y un array de variables que sanitiza (para evitar SQL Inyection) antes de enviar la query a la DB

Hay muchos metodos de hacer todo esto. Fijate que en la pagina de OWASP tenes muchos ejemplos y creo que hasta hay un script en PHP para sanitizar strings tanto para evitar XSS como SQL Inyection.

cesarpunk · #6 (**permalink**) 12/11/2009, 10:07

mientras puedes usar esto en el envio de datos:

mysql_real_escape_string(stripslashes(trim($variab le)));

y en tus querys puedes usar el sprintf

yonolose · #7 (**permalink**) 12/11/2009, 10:09

Lo que yo uso es

Código PHP:

  mysql_real_escape_string("INSERT INTO `tablita-guay`.... ('" . mysql_real_escape_string($tuvariable) . "')");

Saludos!

dquispe · #8 (**permalink**) 12/11/2009, 10:30

Ok me quedo un poko mas claro ese tema de como proteger mi sistema.. web.