Tema: Aplicacion Segura y Inyeccion SQL
Ver Mensaje Individual
  #3 (permalink)  
Antiguo 21/08/2009, 21:10
Avatar de Triby
Triby
Mod on free time
  
Fecha de Ingreso: agosto-2008
Ubicación: $MX->Gto['León'];
Mensajes: 10.106
Antigüedad: 16 años, 6 meses
Puntos: 2237
Respuesta: Aplicacion Segura y Inyeccion SQL
Para evitar inyecciones SQL pasa los datos por mysql_real_escape_string() antes de usarlos en una consulta (SELECT, INSERT, etc.) y, mejor aun, verifica cada tipo de dato recibido:

Código php: 
Ver original
  1. // Cadenas: eliminar espacios al principio y al final, convertir caracteres especiales
  2. $cadena = htmlentities(trim($_POST['cadena']));
  3. if(strlen($cadena) < longitud_minima || strlen($cadena) > longitud_maxima) {
  4.     die('Error en cadena.');
  5. }
  6. $cadena = mysql_real_escape_string($cadena);
  7.  
  8. // Enteros
  9. $entero = intval($_POST['entero']);
  10.  
  11. // Flotantes
  12. $flotante = (float)$_POST['flotante'];
__________________
- León, Guanajuato
- GV-Foto