evitar inyeccion sql

Nombela · #1 (**permalink**) 15/12/2005, 03:32

Hola buenas, tengo una sql montada en un where concatenando cada valor que mete en la busqueda el usuario.
Hay es donde esta mi problema, como podria hacer para evitar que me meta el usuario una comilla simple y me tire la query????
la query esataria asi strSql="sleect *from usuarios where usu=' and nombre=' ...."

Por ahora con esto:
strWhere = strWhere.replace(/\s+AND\s*$/gi, "");
le quito a la sql si tiene un AND al final, podria usar esa regular expression de alguna forma para que me ponga tb en vez de una comilla simple 2???

gracias

Nombela · #2 (**permalink**) 15/12/2005, 10:56

Ni idea????

Cap.Buscapina · #3 (**permalink**) 15/12/2005, 16:12

supongo que si, aunque yo no te pueda dar una respuesta.

Lo que si te podría decir es que para evitar sql injection, si o si tenes que filtrarlo del lado del servidor(cualquiera con el conocimiento para realizarlo tambien puede "saltarse" javascript facilmente)

xknown · #4 (**permalink**) 15/12/2005, 19:18

Nombela, estás trabajando en .NET no?, si es así entonces haz uso de parámetros en lugar de concatenar los valores y armar tu consulta.

Como dice Cap.Buscapina, de nada te servirá intentar evitar eso usando código de cliente, sabiendo que puede ser fácilmente desactivado.

Saludos

Nombela · #5 (**permalink**) 16/12/2005, 04:47

Es que la query la tengo en javascript y no es una validacion de usuario y password sino un formulario de busqueda con muchos campos pero claro si al usuario le da por meter una comilla simple en la busqueda pues casca.

Por eso quiero evitarlo kitando todas las comillas.

Nombela · #6 (**permalink**) 17/12/2005, 08:50

Un aayudita

Carlitos · #7 (**permalink**) 17/12/2005, 10:27

Hola.

A ver si esto te sirve.
http://es.php.net/manual/es/function.addslashes.php
http://es.php.net/manual/es/function...ecialchars.php
http://www.maestrosdelweb.com/editorial/inyecsql/

farra · #8 (**permalink**) 05/04/2008, 01:02

usa esta funcion para todas las variables externas $_GET $_POST $_COOKIE etc...

Código PHP:

   
if (!function_exists("GetSQLValueString")) {

function GetSQLValueString($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = "") 

{

  $theValue = get_magic_quotes_gpc() ? stripslashes($theValue) : $theValue;

 
  $theValue = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($theValue) : mysql_escape_string($theValue);

 
  switch ($theType) {

    case "text":

      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";

      break;    

    case "long":

    case "int":

      $theValue = ($theValue != "") ? intval($theValue) : "NULL";

      break;

    case "double":

      $theValue = ($theValue != "") ? "'" . doubleval($theValue) . "'" : "NULL";

      break;

    case "date":

      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";

      break;

    case "defined":

      $theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue;

      break;

  }

  return $theValue;

}

}

ejemplo de llamando a la funcion:

Código PHP:

  $variable=GetSQLValueString($_GET['Id'],"int");

JavierB · #9 (**permalink**) 05/04/2008, 03:07

El mensaje inicial es de hace más de 2 años. Por favor, no reviváis temas tan antiguos.

Saludos,