Como validar para evitar inyecciones de codigo?

karenlorenadg · #1 (**permalink**) 06/08/2020, 12:45

Hola amigos, quisiera ayuda de parte de ustedes, tengo este sistema de subir imagenes a mi servidor, pero quiero que no vayan a inyectarme codigo malisioso ya que este formulario estará al publico.

Agradezco su ayuda por favor. Este es mi codigo que registra.

Código PHP:

  <?php

include("logica/conexion.php");

 
$target_dir = "./img_certific/";

$target_file = $target_dir . date('Ymd-His') . '_' . basename($_FILES["comprobante"]["name"]);

$uploadOk = 1;

$imageFileType = pathinfo($target_file,PATHINFO_EXTENSION);

// Check if image file is a actual image or fake image

if(isset($_POST["submit"])) {

    $check = getimagesize($_FILES["comprobante"]["tmp_name"]);

    if($check !== false) {

        //echo "File is an image - " . $check["mime"] . ".";

        $uploadOk = 1;

    } else {

        //echo "File is not an image.";

        $uploadOk = 0;

    }

}

 
 
 
if($imageFileType != "jpg" && $imageFileType != "png" && $imageFileType != "jpeg"

&& $imageFileType != "gif" ) {

    //echo "Sorry, only JPG, JPEG, PNG & GIF files are allowed.";

    $uploadOk = 0;

}

 
// Check file size

 
 
 if (move_uploaded_file($_FILES["comprobante"]["tmp_name"], $target_file)) {

        //echo "El archivo ". basename( $_FILES["foto_1"]["name"]). " ha sido cargado.";

    } else {

        //echo "Sorry, there was an error uploading your file.";

    }

 
$sql="insert into table_certificados values 

(null,'".$_POST["nombres"]."','".$_POST["email"]."','".$_POST["grado"]."','".$_POST["ano_curso"]."','".$target_file."','".$_POST["mensaje"]."',now())

";

 
$res = mysqli_query($conectar, $sql);

 
 
echo "<script type=''>

    alert('Articulo realizado correctamente');

    window.location='cert_estudio.php';

</script>";

 
?>

Alexis88 · #2 (**permalink**) 07/08/2020, 14:16

Puedes recurrir a las funciones que ofrecen extensiones como PDO o MySQLi e incluso utilizar expresiones regulares.

Una forma rápida y simple consiste en utilizar las funciones strip_tags y mysqli_real_escape_string:

Código PHP:

Ver original$email = mysqli_real_escape_string($conexion, strip_tags($_POST['email']));

Existen otras funciones que pueden darte resultados similares o mejores. Te sugiero hacer una búsqueda al respecto.