14/09/2009, 09:26
| |||
| |||
 Inyeccion sql Hola, tengo un archivo php que muestra noticias desde mysql y coje la variable del id por la url (muestra_noticia.php?noticia_id=124) el punto es que necesito filtrar el input de la variable, alguna idea de como puedo filtrar toda la informacion de las variables para evitar las inyecciones sql? Gracias!!! |
|
14/09/2009, 09:52
| ||||
| ||||
| Respuesta: Inyeccion sql Usando Google encontrarás muuuchas respuestas. Usa lo que te convenga. Sin más detalles es algo difícil aconsejarte, pero para el caso, la cosa se maneja siempre a nivel de lenguaje de programación, y no en la base de datos, ya que cuando llega a ella, la sentencia inyectada ya se está ejecutando...
__________________ ¿A quién le enseñan sus aciertos?, si yo aprendo de mis errores constantemente... "El problema es la interfase silla-teclado." (Gillermo Luque) |
|
14/09/2009, 10:09
| ||||
| ||||
| Respuesta: Inyeccion sql Cita: Sigue siendo problema de programación de aplicaciones. No de Bases de Datos.
Iniciado por ggermes  lo que necesito es una expresion regular para validar los inputs No puedes controlar desde SQL el problema de SQL injection, porque cuando mandas a ejecutar la sentencia, el SQL injection entra directamente. Lo debes resolver en la aplicación. Lo único de SQL que puedes usar para algún tipo de control es Stored Procedures... Porque colapsan cuando intentas meter SQL injection en un parámetro. Si estás programando en PHP: Foro de PHP. Si estás programando en PHP y quieres las funciones de control en PHP: Manual on-line de PHP: mysql_real_escape_strings. Si estás programando en ASP: Foro de ASP. Si estás programando en .Net: Foro de .NET
__________________ ¿A quién le enseñan sus aciertos?, si yo aprendo de mis errores constantemente... "El problema es la interfase silla-teclado." (Gillermo Luque) |
