Foros del Web » Programando para Internet » PHP »

Como te protejes de las inyecciones?

Estas en el tema de Como te protejes de las inyecciones? en el foro de PHP en Foros del Web. Saludos. Quisiera saber como ustedes se protejen de las inyecciones, tanto de mysql como de XSS. Explica como tu script realmente te proteje de cualquier ...
  #1 (permalink)  
Antiguo 12/10/2010, 10:46
 
Fecha de Ingreso: agosto-2008
Mensajes: 271
Antigüedad: 16 años, 4 meses
Puntos: 2
Como te protejes de las inyecciones?

Saludos.

Quisiera saber como ustedes se protejen de las inyecciones, tanto de mysql como de XSS.

Explica como tu script realmente te proteje de cualquier intento de inyeccion.

Grax!
  #2 (permalink)  
Antiguo 12/10/2010, 11:06
Avatar de CazaresLuis  
Fecha de Ingreso: septiembre-2010
Ubicación: Distrito Federal
Mensajes: 67
Antigüedad: 14 años, 2 meses
Puntos: 2
Información Respuesta: Como te protejes de las inyecciones?

Cita:
Iniciado por Bigcrime Ver Mensaje
Saludos.

Quisiera saber como ustedes se protejen de las inyecciones, tanto de mysql como de XSS.

Explica como tu script realmente te proteje de cualquier intento de inyeccion.

Grax!
Hola buenas tardes, yo trabajo con php y mysql y lo que hago es utilizar sprintf() de php y adicionalemnte a cada variable dependiendo de su tipo le escapo los caracetres especiales con addslashes() y ya si es muy necesario pues utilizo funciones para cambiar acentos y otros caracteres.

Saludos
  #3 (permalink)  
Antiguo 12/10/2010, 11:11
 
Fecha de Ingreso: abril-2008
Mensajes: 435
Antigüedad: 16 años, 7 meses
Puntos: 10
Respuesta: Como te protejes de las inyecciones?

Para protegerte de las inyecciones siempre tienes que filtrar los datos que recibes de los usuarios, eso es prioridad.
te recomiendo que chequees la funcion mysql_real_escape_string() que se usa para escapar caracteres antes de que se guarden en la base de datos, tambien puedes usar htmlentities entre otras

saludos
  #4 (permalink)  
Antiguo 12/10/2010, 15:57
 
Fecha de Ingreso: agosto-2008
Mensajes: 271
Antigüedad: 16 años, 4 meses
Puntos: 2
Respuesta: Como te protejes de las inyecciones?

Grax,

La funcion mysql_real_escape_string(), es necesaria aun yo encripte la informacion ?
o ya no seria necesario ?

Un ejemplo passwords.

GRAX!
  #5 (permalink)  
Antiguo 12/10/2010, 16:16
Avatar de eits  
Fecha de Ingreso: junio-2005
Ubicación: valladolid, yucatán
Mensajes: 1.655
Antigüedad: 19 años, 6 meses
Puntos: 88
Respuesta: Como te protejes de las inyecciones?

tambien te ayudaría saber si los valores que recuperas son numéricos cerciorarse de que realmente los sean, te puedes apoyar de las funciones is_numeric, is_int, entre otras mas.
saludos.
__________________
El amor es la locura mas lucida que tiene el hombre.- Andres Henestrosa
la tristeza no existe, solo es... la ausencia de la felicidad.
  #6 (permalink)  
Antiguo 12/10/2010, 16:59
Avatar de Sourcegeek
Colaborador
 
Fecha de Ingreso: mayo-2009
Ubicación: $mex['B.C.'];
Mensajes: 1.816
Antigüedad: 15 años, 7 meses
Puntos: 322
Respuesta: Como te protejes de las inyecciones?

Yo siempre uso mysql_real_escape_string(); que basicamente pone barras antes de cualquier comilla...
Por ejemplo, si yo pongo:
' or '1'='1
mysql_real_escape_string() me lo transforma a:
\' or \'1\'=\'1

Tambien uso htmlentities() para evitar ataques del tipo XSS, ya que si se insertan caracteres HTML, se tranformaria a su identidad html correspondiente.
__________________
Buscas desarrollador web? Sourcegeek. Diseño web, Maquetación y Programación
¡Escribe bien! Esto es un foro, no un Facebook para que escribas con los pies
  #7 (permalink)  
Antiguo 12/10/2010, 17:20
Avatar de cesarpunk  
Fecha de Ingreso: enero-2008
Ubicación: Lima
Mensajes: 943
Antigüedad: 16 años, 11 meses
Puntos: 9
Respuesta: Como te protejes de las inyecciones?

puedes también usar un patron que contengan sentencias sql como insert, delete, truncate... y los eliminas con preg_replace(patron, "", valor)
__________________
Quitenme la vida pero no la bebida.
  #8 (permalink)  
Antiguo 13/10/2010, 06:51
 
Fecha de Ingreso: agosto-2008
Mensajes: 271
Antigüedad: 16 años, 4 meses
Puntos: 2
Respuesta: Como te protejes de las inyecciones?

GraX! tomare en cuenta todas las sugerencias ^_^
  #9 (permalink)  
Antiguo 14/10/2010, 10:22
Avatar de oso96_2000  
Fecha de Ingreso: junio-2002
Ubicación: Distrito Federal
Mensajes: 558
Antigüedad: 22 años, 6 meses
Puntos: 35
Respuesta: Como te protejes de las inyecciones?

Para la inyeccion SQL suelo usar varias cosas, por ejemplo, si espero un entero, uso intval() para obtener el valor entero solamente, lo cual me elimina otros caracteres no deseados. Para cadenas uso mysql_real_escape_string().

Para XSS, lo mas sencillo es usar htmlspecialchars() o htmlentities() donde imprimes texto.
__________________
Sin Ideas

Etiquetas: inyecciones
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 04:13.