Ver Mensaje Individual
  #10 (permalink)  
Antiguo 22/07/2010, 17:05
7xtr3am
 
Fecha de Ingreso: marzo-2009
Mensajes: 73
Antigüedad: 15 años, 9 meses
Puntos: 1
Respuesta: seguridad + llamar funciones - hackers

si trato de evitar la inyeccion sql solo que en elejemplo lo puse como una linea y comentada

johhan16, yo lo hago mas o menos asi

Código PHP:
$q sprintf("INSERT INTO mitabla1(campo1,campo2,campo3) VALUES('%s','%s','%s')",
     
comillas_inteligentes($_get["c1"]),
     
comillas_inteligentes($_get["c2"]),
     
comillas_inteligentes($_get["c3"]) );
mysql_query($q,$link) or die("ocurrio error"); 
aotroarchivos.php
Código PHP:
function comillas_inteligentes($valor)
{
    
// Retirar las barras
    
if (get_magic_quotes_gpc()) 
    {
        
$valor stripslashes($valor);
    }

    
// Colocar comillas si no es entero
    //if (!is_numeric($valor)) {
        
$valor mysql_real_escape_string($valor);
    
//}
    
    
return $valor;

este codigo es el resultado de mucho dias de investigacion y pruebas hace varios meses, cuando tambien tube problemas de hackers.

alomejor si se junta el codigo que pusiste + el que pongo sale algo bueno
solo faltaria confirmar (como bien dices) si realmente con solo incluirlo funciona
el codigo que pusiste. pd: si lo haces lo pegas aqui para que todos tengamos una referencia.

entonces si mi codigo funciona para evitar el sql inyection, de que otra forma pudieron hackearme?