Hola de nuevo foro, tego una duda sobre el uso de un codigo que encontre aqui.
En este tema [URL="http://www.forosdelweb.com/f18/funcion-para-evitar-xss-sql-injection-958648/"]http://www.forosdelweb.com/f18/funcion-para-evitar-xss-sql-injection-958648/[/URL] encontre un codigo que modificó
abimaelrc que sirve
contra el XSS
Tambien en youtube encontré este
contra la Sql Injection Código PHP:
<?php
// De aqui http://www.youtube.com/watch?v=C99RciTgTRA minuto 7:52
function protect($v){
$v=mysql_real_escape_string($v);
$v=htmlentities($v, ENT_QUOTES);
$v=trim($v);
return($v);
}
?>
No estoy seguro si ese segundo codigo realmente ayuda suficiente contra el Sql Injection.
Por el momento estoy usando el codigo de
abimaelrc primero pasandolo con con la funcion
Filter_Xss y luego la funcion
realEscapeString y por ultimo el
protect y funciona bien, no da errores y hace lo que se supone haga
Mi duda es ¿a que variables tengo que pasarle esto?
Segun tengo entendido de lo que lei es que se lo pase todas las funciones que se conecten a la base de datos ya sea que venga de un imput text, checkbox o cualquiera que conecte.
¿estoy en lo cierto?
Otra duda que tengo es ...
si por ejemplo recibo un $_POST o $_GET o cualquier otro y este tiene "codigo maligno" ¿sirve de algo que a eso que reciba le haga un
str_replace para quitar signos como " $ { ( ) " o incluso un
preg_match en caso de que detecte caracteres no permitidos?
¿ o de todos modos se "activaria" ese codigo malicioso ?