Tratar inyecciones SQL

shakaran · #1 (**permalink**) 06/07/2007, 07:11

Hola, tengo hecho un sistema de comentarios y para evitar inyecciones SQL o XSS o similares tengo hecha esta funcion:

Código:

function make_safe_pro($v)
{	//Comprueba caracteres raros y los neutraliza (como OR 1=1) para evitar inyeccion SQL.
	$v=htmlentities($v);
  	$v=addslashes(trim($v));
   	return $v;
}

Tambien como alternativa tengo hecha esta:

Código:

function make_safe($v)
{	//Comprueba caracteres raros y los neutraliza (como OR 1=1) para evitar inyeccion SQL.
   	return addslashes(trim($v));
}

EL problema es que creo que es demasiado "efectiva", porque no he conseguido que pase ninguna inyeccion SQL, pero por contra cuando mis usuarios postean un comentario con los caracteres como \ o < o > o " los parsea como \\, \<, \> \" respectivamente.

Entonces me queda fatal que en un comentario un usuario no pueda poner "esto es un refran" o 2>5 o expriones asi.

Como podria solucionar esto? porque he visto otras y no "censuran" de esta forma los comentarios.

mauled · #2 (**permalink**) 06/07/2007, 07:46

Pues una vez que allas usado tus funciones, al momento de mostrar la información para eliminar las "\" puedes usar stripslashes().

Saludillos.

shakaran · #3 (**permalink**) 06/07/2007, 07:54

Gracias! No me esperaba que fuera una solución tan sencilla, era justo lo que necesitaba.