Cita:
Iniciado por Triby 
spacecowboy, $_GET['inyeccion'] existira solamente cuando entres a esa pagina y coloques ese atributo como parametro: pagina.php?inyeccion=algo
La existencia o no de parametros en GET, POST o COOKIE no implican que necesariamente tu sitio sea seguro o no, esto depende exclusivamente de como tratas, validas y filtras todos los datos recibidos.
Triby es cierto, aunke cuando envio variables POST que contengan comillas simples el mismo server (digo que el server pq yo no he hecho es funcion) las convierte en \
Cita:
Iniciado por Adler Hola
Recién que empiezo en PHP, pero en ASP lo que hago es reemplazar todo aquello que puedes ser usado para atacar la integridad de bd. Palabra como
Suerte
bueno de hecho tengo una funcion asi.. resulta que entonces cuando alguien escribe una frase por ejemplo "pedro inserto tal cosa" ... la funcion detecta el "insert" entonces no guarda el registro... aunke de todos modos creo que no puedo ser tan estricto con suplantar palabras ya que ... la pag contiene un foro y una seccion de blog con varios usuarios ... y es probable que en las cases que ellos escriban pueda estar incluida esas palabras... como hago?
Cita:
Iniciado por abimaelrc Añado, si estás usando las funciones de mysql que ofrece PHP, debes en todas tus consultas usar mysql_real_escape_string.
tengo una funcion programada para cada vez que alguien envie una variable por un form que contenga (') comilla simple el la convierte en acento (´) ... con eso basta?
ya que la pag tiene muchas consultas tendria que hacerla de nuevo para colocarle lo de "mysql_real_escape_string" :(
