Ver Mensaje Individual
  #5 (permalink)  
Antiguo 17/07/2011, 09:07
IEKK
 
Fecha de Ingreso: agosto-2010
Ubicación: Tenerife
Mensajes: 893
Antigüedad: 14 años, 4 meses
Puntos: 202
Respuesta: Ejemplo/Aporte Separar conexion y consultas + seguridad en pocas líneas

Cita:
Iniciado por Sourcegeek Ver Mensaje
Buen aporte, sólo que deberías 'ampliar' un poco la protección que ofrece clean_var. Por ejemplo, para inyecciones del tipo:
Código SQL:
Ver original
  1. 1 AND 1=0 UNION SELECT TABLE_NAME,NULL FROM informacion_schema.TABLES

De ahí en más, buen aporte!
Bueno, la verdad es que lo hice sencillito para la gente, pero efectivamente me di cuenta que la seguridad era mejorable.
Más simple usando expresiones regulares.

Código PHP:
function clean_var($var=''){
    
$con = new DBconnection;
    if (
$con->connect())
        return 
mysql_real_escape_string(trim(preg_replace("/[^a-z0-9]/","",$var)));

Saludos
__________________
Pensaba que internet era una gran biblioteca de sabiduría, hasta que comprendí que un libro no puede tener mil páginas llenas de faltas de ortografía... :(