¡es seguro? proteccion de inyección SQL

SadusSadusSadus · #1 (**permalink**) 03/01/2007, 12:47

hola amigos, me gustaría saber si el siguiente script es seguro para realizar una consulta cualquiera a la base de datos y evitar la inyección SQL.
inyeccion.php:

Código PHP:

  <? 
// Evitamos la inyeccion SQL 
 
// Modificamos las variables pasadas por URL 
foreach( $_GET as $variable => $valor ){ 
$_GET [ $variable ] = str_replace ( "'" , "'" , $_GET [ $variable ]); 
} 
// Modificamos las variables de formularios 
foreach( $_POST as $variable => $valor ){ 
$_POST [ $variable ] = str_replace ( "'" , "'" , $_POST [ $variable ]); 
} 
?>

Código PHP:

  
<? 
//Y incluiremos este script en todas las páginas en las que realizemos consultas a la base de datos: 
// Evitamos la inyeccion SQL 
include 'inyeccion.php' ; 
// 
// Contenido de la página PHP 
// 
?>

Y si tienen algún otro script me lo pueden hacer saber, gracias

xknown · #2 (**permalink**) 03/01/2007, 12:55

No, no es seguro, usa mysql_real_escape_string (o una función equivalente de la base de datos que estás usando)

SadusSadusSadus · #3 (**permalink**) 03/01/2007, 13:07

Muchas gracias, ahora me informo con respecto a esa función,
Saludos

nicolaspar · #4 (**permalink**) 03/01/2007, 13:09

Tal cual como dice xknown, acá tenes unas funciones incorporándola:
http://snipplr.com/view/1915/php--limpiar-inyeccin-sql/

SadusSadusSadus · #5 (**permalink**) 03/01/2007, 13:40

ah muchas gracias, ya la estoy probando aver que tal.
Saludos