Cuales son los carácter especiales peligrosos en PHP?

wilson_romero · #1 (**permalink**) 21/04/2016, 20:06

Hola amigo encontre la forma de ponerle a un formulario esto

Código PHP:

Ver originalereg("@,", $_POST['nick']))

sirve para que no acepte caracteres no deseados
entonces me pregunto yo. cuales son los caracter que se usan para inyección Mysql ?
yo tengo estos
< > "" ''
si saben algunos más pues por favor contar me.

pateketrueke · #2 (**permalink**) 21/04/2016, 20:08

Debes aprender la diferencia entre XSS y SQL-Injection:

- Los caracteres especiales de XSS son todos aquellos que permitan producir HTML válido.
- Los caracteres especiales de SQL son todos aquellos que significan algo: comillas, comentarios, etc.

wilson_romero · #3 (**permalink**) 21/04/2016, 20:27

Cita:

Iniciado por pateketrueke

Debes aprender la diferencia entre XSS y SQL-Injection:

- Los caracteres especiales de XSS son todos aquellos que permitan producir HTML válido.
- Los caracteres especiales de SQL son todos aquellos que significan algo: comillas, comentarios, etc.

Gracias amigo

el otro problema que me resulto ahora es que no puedo poner el conjunto de caracteres junto ejemplo

Código PHP:

Ver originalereg("@,>", $_POST['nick']))

o

Código PHP:

Ver originalereg("@>", $_POST['nick']))

tampoco asi

Código PHP:

Ver originalereg("@", $_POST['nick'],">", $_POST['nick']))

lei el manual pero no lo entiendo mucho y no vi como ponerlo en conjunto.

pateketrueke · #4 (**permalink**) 21/04/2016, 20:52

Mira, el asunto es que intentas resolver un problema que nadie tiene.

Me explico:

Lo que intentas hacer se le conoce como seguridad por oscuridad, es decir, eliminar parte de la información únicamente por la sensación de seguridad que da saber no tener dichos datos.

No tiene sentido alguno, si programas bien, y escapas apropiadamente tus consultas jamás podrán hacerte un SQL-Injection, no es necesario alterar la información del usuario por ello.

Lo mismo ocurre con XSS, CSRF y un montón de problemas más: si no los entiendes buscarás cualquier salida rápida como lo es no permitir ciertos caracteres.

Pero si realmente quieres hacer bien las cosas primero debes entenderlas, nada más.

wilson_romero · #5 (**permalink**) 21/04/2016, 21:02

Tengo que aplicar esto verdad

Código PHP:

Ver originalmysql_real_escape_string($variable)

si implementa esto de alguna forma serviria verda

no se como usarla en un INSERT

si la se usar en un WHERE

pateketrueke · #6 (**permalink**) 21/04/2016, 21:40

Cita:

no se como usarla en un INSERT

si la se usar en un WHERE

Pues da igual, al final son datos, ¿cual es la confusión?

wilson_romero · #7 (**permalink**) 22/04/2016, 18:32

si me funciono de la mima forma también en el INSERT gracias
pero estos son Los caracteres codificados con mysql_real_escape_string($variable) (ASCII 0), \n, \r, \, ', ", y Control-Z.
pero tenia otro error con los caracter HTML acepta < y >. Con esto pueden insertar condigo html
pero gracias a ustedes eh podido comprender mucho y mis estudios de casa hice esta función que limpia las entradas del formulario
este es el codigo espero que se le sirvan a alguien de ayuda

Codigo html del formulario

Código HTML:

Ver original<form action="post.php" method="POST">
    Nick: <input type="text" name="vardelform"  /><br> <!--required para validar los campos no pasa si no esta lleno-->
   
    <input type="submit" name="submit" value="Registrarse" />
    </form>

codigo PHP

Código PHP:

Ver original<?php
   function limpiar($post)
    {
     $codehtml = htmlentities($post); 
     $codephp = mysql_real_escape_string($codehtml);
     return $codephp;
    }
$vardelform= limpiar($_POST['vardelform']);
echo $vardelform ;

amigo em gustaria saber si hay otra forma de inyección ?
con esto estara segura las entradas ?

NueveReinas · #8 (**permalink**) 23/04/2016, 04:14

Te recomiendo utilizar mysqli_real_escape_string (manual de PHP).

Y, a ser posible, sentencias preparadas para interactuar con la base de datos.

pateketrueke · #9 (**permalink**) 23/04/2016, 07:28

Usar htmlentitities() es innecesario, pues el HTML no afecta la base de datos.

Lo único que consigues con eso es incrementar la cantidad de texto, porque ahora no vas a guardar < sino < y así sucesivamente...

wilson_romero · #10 (**permalink**) 23/04/2016, 19:30

Cita:

Iniciado por NueveReinas

Te recomiendo utilizar mysqli_real_escape_string (manual de PHP).

Y, a ser posible, sentencias preparadas para interactuar con la base de datos.

ya lo use en el lafunciom el mysqli_real_escape_string pero el mio es msql no misqli no se cua les la diferencia entre los dos, que me daliaria de mejora el msqli

y no se que son sentencias preparadas si me explicas un poco de lo agradeceria.

wilson_romero · #11 (**permalink**) 23/04/2016, 19:32

Cita:

Iniciado por pateketrueke

Usar htmlentitities() es innecesario, pues el HTML no afecta la base de datos.

Lo único que consigues con eso es incrementar la cantidad de texto, porque ahora no vas a guardar < sino < y así sucesivamente...

el problema es que si lo dejo pueden escribir un FONT COLOR yo lo prove y el nick por ejemplo se le agregaba el el color de html y si no cerraba el condigo todo lo demas de abajo tomaba el color del codigo HTML

kip13 · #12 (**permalink**) 23/04/2016, 19:51

Puedes entrar aca para despejar tu duda entre Mysql y Mysqli.

http://www.forosdelweb.com/f18/mysql...-mysql-428741/

Lee un poco y te daras cuenta que la mejor opcion es Mysqli.

Saludos