como proteger mejor un query

jaronu · #1 (**permalink**) 04/03/2008, 16:01

como es mejor protejer una consulta a BD, he leido y buscado bastante, pero no me termino de entenderlo.

que es mejor usar esto:

Código PHP:

  function quitar($mensaje)

{

    $nopermitidos = array("'",'\\','<','>',"\"");

    $mensaje = str_replace($nopermitidos, "", $mensaje);

    return $mensaje;

}

if(trim($HTTP_POST_VARS["usuario"]) != "" && trim($HTTP_POST_VARS["password"]) != "")

{

    // Puedes utilizar la funcion para eliminar algun caracter en especifico

    $usuario = strtolower(quitar($HTTP_POST_VARS["usuario"]));

    $password = $HTTP_POST_VARS["password"];

 
            $result = mysql_query('SELECT password, usuario FROM usuarios WHERE usuario=\''.$usuario.'\'');

o esto:

Código PHP:

   
 
if(trim($HTTP_POST_VARS["usuario"]) != "" && trim($HTTP_POST_VARS["password"]) != "")

{

        //  puedes convertir  a su entidad HTML aplicable con htmlentities

    $usuario = strtolower(htmlentities($HTTP_POST_VARS["usuario"], ENT_QUOTES));

    $password = $HTTP_POST_VARS["password"];

    $result = mysql_query('SELECT password, usuario FROM usuarios WHERE usuario=\''.$usuario.'\'');

#2 (**permalink**) 05/03/2008, 07:22

htmlentities no te va a escapar barras, y te va a escapar mucho más de lo que necesitás.
Lo ideal es usar addshashes() o mysql_real_escape_string, te recomiendo ver las páginas del manual correspondientes.

www.php.net/addslashes
www.php.net/mysql_real_escape_string

Saludos.

drbit · #3 (**permalink**) 05/03/2008, 07:53

Agrego a lo de avlin que si usas mysql lo mejor es usar mysql_real_escape_string, porque tiene en cuenta todos los reemplazos necesarios para la base de datos mysql.
En general todos los drivers de cualquier base de datos tienen una función específica para hacer esto, y siempre conviene usarla por sobre addslashes.

Saludos.