[SOLUCIONADO] PHP OO ¿Como realizar in INSERT seguro?

Chiiviito · #1 (**permalink**) 11/11/2015, 11:10

Hola actualmente estoy en un proyecto y tengo que ingresar en un campo dsitintos caracteres desde ' hasta *, practicamente es el campo de mensaje para hacer post asi que la gente puede poner lo que ase y dar ejemplos de codigos como por ejemplo:

Código PHP:

Ver originalvar n = usig.NormalizadorDirecciones.init();
 
 try {
      var opts = n.normalizar('AQUINO', 10);
      alert('Bien');
 } catch (error) {
      alert('error2');
 }

Mi duda es como aceptar todos los caracteres sin que hagan cosas malas de por medio? Algun inject?
Vi en cms de terceros y vi en la BD se guarda exactamente igual es como si no tuviese ningun tipo de filtro
Saludos

pateketrueke · #2 (**permalink**) 11/11/2015, 11:17

Cita:

Vi en cms de terceros y vi en la BD se guarda exactamente igual es como si no tuviese ningun tipo de filtro

Exacto.

El problema de una inyección no es en sí el código sino como lo "preparas" antes de insertarlo en la base de datos, si ni lo escapas adecuadamente puede producirse un error de sintaxis de SQL y eso es la puerta a una inyección.

Si usas PDO el método prepare() hace todo lo posible para mantener segura tu consulta.

Cita:

Mi duda es como aceptar todos los caracteres sin que hagan cosas malas de por medio

La solución consiste efectivamente en preparar las consultas, escapar el texto que se introduce pero no transformarlo ni "codificarlo" de ningún modo.

No debes alterar la naturaleza original de la información sólo por no saber escapar tus consultas.

Chiiviito · #3 (**permalink**) 11/11/2015, 11:26

Estaba pensando en pasarme de MySqli a PDO no seria mucho trabajo pero no hay alguna solucion para MySqli?
mysqli_real_escape_string
Solo con eso bastara?
EDITO:
Encontre esto :
http://www.w3schools.com/php/php_mys...statements.asp
Seria lo mismo? osea cumple la mismia funcion?
Saludos

pateketrueke · #4 (**permalink**) 11/11/2015, 11:47

Sí, el propósito es el mismo.