Foros del Web » Programando para Internet » PHP »

Algo parecido a mysql_real_escape_string() ?

Estas en el tema de Algo parecido a mysql_real_escape_string() ? en el foro de PHP en Foros del Web. Que tal?, estoy en un proyecto pequeño de un gestor de contenidos o bien sistema de noticias simple pero quiero agregar algún filtro como mysql_real_escape_string() ...
  #1 (permalink)  
Antiguo 09/04/2011, 00:23
 
Fecha de Ingreso: agosto-2010
Mensajes: 42
Antigüedad: 14 años, 3 meses
Puntos: 2
Algo parecido a mysql_real_escape_string() ?

Que tal?, estoy en un proyecto pequeño de un gestor de contenidos o bien sistema de noticias simple pero quiero agregar algún filtro como mysql_real_escape_string() pero me surge un problema...

El sistema usa un editor de textos por lo tanto se agrega y visualiza html, pero cuando agregan la noticia a la db se agrega "\" y no se muestra la imagen o el formato en la pagina donde se extraen las noticias... Hay alguna forma de arreglar esto?

Gracias

Edito: Me puse a investigar un poco mas las funciones y vi que hay una forma para decodificar htmlspecialchars(). Les dejo un ejemplo de mi código php:

Código PHP:
$contenido htmlspecialchars($_POST['contenido']); 
Y cuando muestro el contenido hago esto:

Código PHP:
<?php echo htmlspecialchars_decode($ar['contenido']) ;?>
Esta bien si lo hago así? Lo unico que quiero es evitar una Sql Injection o algo relacionado con un "hackeo" a la db...

Última edición por Mixvice; 09/04/2011 a las 00:34
  #2 (permalink)  
Antiguo 09/04/2011, 01:05
Avatar de Triby
Mod on free time
 
Fecha de Ingreso: agosto-2008
Ubicación: $MX->Gto['León'];
Mensajes: 10.106
Antigüedad: 16 años, 4 meses
Puntos: 2237
Respuesta: Algo parecido a mysql_real_escape_string() ?

Para evitar SQL injection necesariamente debes usar mysql_real_escape_string(), el problema que tienes tal vez se deba a las comillas magicas y, si estan activas, tal vez solo necesitas stripslashes() para que tu codigo se vea como esperas.
__________________
- León, Guanajuato
- GV-Foto
  #3 (permalink)  
Antiguo 09/04/2011, 09:46
 
Fecha de Ingreso: agosto-2010
Mensajes: 42
Antigüedad: 14 años, 3 meses
Puntos: 2
Respuesta: Algo parecido a mysql_real_escape_string() ?

Hola, gracias por contestar, pero por ejemplo joomla como hace para aceptar contenido html en su editor y mostrarlo en la pagina como html? O es vulnerable a sql injection ??
  #4 (permalink)  
Antiguo 09/04/2011, 12:18
Avatar de Triby
Mod on free time
 
Fecha de Ingreso: agosto-2008
Ubicación: $MX->Gto['León'];
Mensajes: 10.106
Antigüedad: 16 años, 4 meses
Puntos: 2237
Respuesta: Algo parecido a mysql_real_escape_string() ?

La mayoria de CMS usan una funcion adecuada para escapar los datos y poder insertarlos en las tablas, algunos con mysql_real_escape_string y otros preparando las consultas con PDO; eso es suficiente para evitar inyecciones SQL, pero tambien tienen funciones de validacion para ver que el HTML sea valido y evitar inyecciones XSS y te sugiero esta busqueda.
__________________
- León, Guanajuato
- GV-Foto
  #5 (permalink)  
Antiguo 09/04/2011, 13:48
 
Fecha de Ingreso: agosto-2010
Mensajes: 42
Antigüedad: 14 años, 3 meses
Puntos: 2
Respuesta: Algo parecido a mysql_real_escape_string() ?

Muchas gracias por la ayuda Triby :) Revisaré lo que me mostraste, un saludo

Etiquetas: parecido
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 02:16.