Ver Mensaje Individual
  #18 (permalink)  
Antiguo 16/05/2011, 17:15
arrasia
 
Fecha de Ingreso: octubre-2007
Mensajes: 68
Antigüedad: 17 años, 2 meses
Puntos: 6
Respuesta: Ataque a mi web por inyección mysql

Cita:
Iniciado por stramin Ver Mensaje
te recomiendo que si uses validaciones por $_POST, aunque sea poca la gente que sepa modificar estos valores las hay.

str_replace("'","\'",$variable);
Esta instruccion reemplaza todas las ' por \' lo que evita que las cadenas se rompan, por ejemplo, en el caso anterior:

"Select * FROM tabla where variable1='variable';DELETE FROM tabla"

se convertiría en

"Select * FROM tabla where variable1='variable\';DELETE FROM tabla'"

lo que salvaría tu tabla de la muerte XD
De nuevo muchas gracias.

Para validad los formularios, tengo areas de texto, como evito ahí código malicioso?

Gracias