Ver Mensaje Individual
  #3 (permalink)  
Antiguo 13/12/2011, 12:45
refreegrata
 
Fecha de Ingreso: agosto-2008
Mensajes: 198
Antigüedad: 16 años, 4 meses
Puntos: 27
Respuesta: PDO, prevención de inyección SQL, escape de caracteres

Cita:
Iniciado por emiliodeg Ver Mensaje
la mejor solución es como primer medida sacar de la configuración de php el escape automatico
como segundo punto utilizar el statment de mysql
y bueno si sos fanatico un poco de procesimientos almacenados y listo

despues la regla de oro "filtrar los datos que entran y escapar los que salen"

espero te sirva
Gracias por responder. Disculpa si estoy un poco lerdo, pero no entendí del todo lo que dijiste. Lo de desactivar "magic quotes" en la configuración, pues no puedo, ya que no soy el administrador del equipo en donde se alojará la aplicación. Por otro lado, uso PostgreSQL, no MySQL. Supongo que con eso te referías a usar las específicas del motor. Pero la verdad es que me gustaría trabajar con PDO, para obtener una cierta independencia del motor escogido.

Lo que no sé es si debo o no hacer un stripslashes (en caso del magic quotes activo) antes de pasar los parámetros, puesto que no tengo idea si PDO evalúa esto con sus propias funciones o no. Según lo veo, lo que se podría generar es un doble escape o por el contrario, un doble stripslashes ¿Vez mi duda? ¿es por esto que debo saber si PDO evalúa el "magic quotes" o yo debo hacerlo antes?

Saludos.