Como evitar el SQL injection en mi formulario php

Potro · #1 (**permalink**) 12/03/2008, 12:45

Hola mis estimados saben me han encargado hacer un formulario en php y evitar el Sql Injection como puedo hacer esto, medicen que debo validar cada campo la verdad no tengo idea de como hacelo en php espero su ayuda..

Saludos.............

eft0 · #2 (**permalink**) 12/03/2008, 12:49

Ejecuta tus querys con mysql_real_escape_string()

Potro · #3 (**permalink**) 12/03/2008, 13:08

Y tendrás algún ejemplo o alguna página que me lo explique de favor...

eft0 · #4 (**permalink**) 12/03/2008, 13:09

http://www.php.net/mysql_real_escape_string

Potro · #5 (**permalink**) 12/03/2008, 13:15

gracias....

neodani · #6 (**permalink**) 12/03/2008, 13:35

Cita:

Iniciado por eft0

http://www.php.net/mysql_real_escape_string

Mi pregunta es... si no pones eso como te pueden hacer sql injection?

eft0 · #7 (**permalink**) 12/03/2008, 13:36

Cita:

Iniciado por neodani

Mi pregunta es... si no pones eso como te pueden hacer sql injection?

La maldad sea rebelada:

http://en.wikibooks.org/wiki/Program...:SQL_Injection

neodani · #8 (**permalink**) 12/03/2008, 16:14

Cita:

Iniciado por eft0

La maldad sea rebelada:

http://en.wikibooks.org/wiki/Program...:SQL_Injection

Veo en el ejemplo

Cita:

$result=mysql_query('SELECT * FROM users WHERE username="'.$_GET['username'].'"');

Interesante... pero solo hay que tener cuidado cuando es el usuario quien introduce algo y tu recoges la información no? es decir, solo cuando tengas un formulario o algo que te envien por GET o POST, si no me equivoco no?

Cuando el usuario no interviene escribiendo nada, no te pueden hacer sql injection no?

Gracias

GatorV · #9 (**permalink**) 12/03/2008, 18:15

Así es, por eso siempre hay que desconfiar de las variables que vienen desde afuera, como lo son GET, POST y COOKIE.

Saludos.