Foros del Web » Programando para Internet » PHP »

Cuales son los carácter especiales peligrosos en PHP?

Estas en el tema de Cuales son los carácter especiales peligrosos en PHP? en el foro de PHP en Foros del Web. Hola amigo encontre la forma de ponerle a un formulario esto @import url("http://static.forosdelweb.com/clientscript/vbulletin_css/geshi.css"); Código PHP: Ver original ereg ( "@," , $_POST [ 'nick' ] ...
  #1 (permalink)  
Antiguo 21/04/2016, 20:06
 
Fecha de Ingreso: diciembre-2015
Mensajes: 369
Antigüedad: 9 años
Puntos: 4
Cuales son los carácter especiales peligrosos en PHP?

Hola amigo encontre la forma de ponerle a un formulario esto
Código PHP:
Ver original
  1. ereg("@,", $_POST['nick']))

sirve para que no acepte caracteres no deseados
entonces me pregunto yo. cuales son los caracter que se usan para inyección Mysql ?
yo tengo estos
< > "" ''
si saben algunos más pues por favor contar me.
  #2 (permalink)  
Antiguo 21/04/2016, 20:08
Avatar de pateketrueke
Modernizr
 
Fecha de Ingreso: abril-2008
Ubicación: Mexihco-Tenochtitlan
Mensajes: 26.399
Antigüedad: 16 años, 8 meses
Puntos: 2534
Respuesta: Cuales son lso carácter especiales peligrosos en PHP?

Debes aprender la diferencia entre XSS y SQL-Injection:

- Los caracteres especiales de XSS son todos aquellos que permitan producir HTML válido.
- Los caracteres especiales de SQL son todos aquellos que significan algo: comillas, comentarios, etc.
__________________
Y U NO RTFM? щ(ºдºщ)

No atiendo por MP nada que no sea personal.
  #3 (permalink)  
Antiguo 21/04/2016, 20:27
 
Fecha de Ingreso: diciembre-2015
Mensajes: 369
Antigüedad: 9 años
Puntos: 4
Respuesta: Cuales son lso carácter especiales peligrosos en PHP?

Cita:
Iniciado por pateketrueke Ver Mensaje
Debes aprender la diferencia entre XSS y SQL-Injection:

- Los caracteres especiales de XSS son todos aquellos que permitan producir HTML válido.
- Los caracteres especiales de SQL son todos aquellos que significan algo: comillas, comentarios, etc.
Gracias amigo

el otro problema que me resulto ahora es que no puedo poner el conjunto de caracteres junto ejemplo

Código PHP:
Ver original
  1. ereg("@,>", $_POST['nick']))

o

Código PHP:
Ver original
  1. ereg("@>", $_POST['nick']))

tampoco asi

Código PHP:
Ver original
  1. ereg("@", $_POST['nick'],">", $_POST['nick']))

lei el manual pero no lo entiendo mucho y no vi como ponerlo en conjunto.

Última edición por wilson_romero; 21/04/2016 a las 20:33
  #4 (permalink)  
Antiguo 21/04/2016, 20:52
Avatar de pateketrueke
Modernizr
 
Fecha de Ingreso: abril-2008
Ubicación: Mexihco-Tenochtitlan
Mensajes: 26.399
Antigüedad: 16 años, 8 meses
Puntos: 2534
Respuesta: Cuales son lso carácter especiales peligrosos en PHP?

Mira, el asunto es que intentas resolver un problema que nadie tiene.

Me explico:

Lo que intentas hacer se le conoce como seguridad por oscuridad, es decir, eliminar parte de la información únicamente por la sensación de seguridad que da saber no tener dichos datos.

No tiene sentido alguno, si programas bien, y escapas apropiadamente tus consultas jamás podrán hacerte un SQL-Injection, no es necesario alterar la información del usuario por ello.

Lo mismo ocurre con XSS, CSRF y un montón de problemas más: si no los entiendes buscarás cualquier salida rápida como lo es no permitir ciertos caracteres.

Pero si realmente quieres hacer bien las cosas primero debes entenderlas, nada más.
__________________
Y U NO RTFM? щ(ºдºщ)

No atiendo por MP nada que no sea personal.
  #5 (permalink)  
Antiguo 21/04/2016, 21:02
 
Fecha de Ingreso: diciembre-2015
Mensajes: 369
Antigüedad: 9 años
Puntos: 4
Respuesta: Cuales son lso carácter especiales peligrosos en PHP?

Tengo que aplicar esto verdad

Código PHP:
Ver original 

si implementa esto de alguna forma serviria verda

no se como usarla en un INSERT

si la se usar en un WHERE

Última edición por wilson_romero; 21/04/2016 a las 21:08
  #6 (permalink)  
Antiguo 21/04/2016, 21:40
Avatar de pateketrueke
Modernizr
 
Fecha de Ingreso: abril-2008
Ubicación: Mexihco-Tenochtitlan
Mensajes: 26.399
Antigüedad: 16 años, 8 meses
Puntos: 2534
Respuesta: Cuales son lso carácter especiales peligrosos en PHP?

Cita:
no se como usarla en un INSERT

si la se usar en un WHERE
Pues da igual, al final son datos, ¿cual es la confusión?
__________________
Y U NO RTFM? щ(ºдºщ)

No atiendo por MP nada que no sea personal.
  #7 (permalink)  
Antiguo 22/04/2016, 18:32
 
Fecha de Ingreso: diciembre-2015
Mensajes: 369
Antigüedad: 9 años
Puntos: 4
Respuesta: Cuales son lso carácter especiales peligrosos en PHP?

si me funciono de la mima forma también en el INSERT gracias
pero estos son Los caracteres codificados con mysql_real_escape_string($variable) (ASCII 0), \n, \r, \, ', ", y Control-Z.
pero tenia otro error con los caracter HTML acepta < y >. Con esto pueden insertar condigo html
pero gracias a ustedes eh podido comprender mucho y mis estudios de casa hice esta función que limpia las entradas del formulario
este es el codigo espero que se le sirvan a alguien de ayuda


Codigo html del formulario
Código HTML:
Ver original
  1. <form action="post.php" method="POST">
  2.     Nick: <input type="text" name="vardelform"  /><br> <!--required para validar los campos no pasa si no esta lleno-->
  3.    
  4.     <input type="submit" name="submit" value="Registrarse" />
  5.     </form>
codigo PHP
Código PHP:
Ver original
  1. <?php
  2.    function limpiar($post)
  3.     {
  4.      $codehtml = htmlentities($post);
  5.      $codephp = mysql_real_escape_string($codehtml);
  6.      return $codephp;
  7.     }
  8. $vardelform= limpiar($_POST['vardelform']);
  9. echo $vardelform ;

amigo em gustaria saber si hay otra forma de inyección ?
con esto estara segura las entradas ?

Última edición por wilson_romero; 22/04/2016 a las 20:25
  #8 (permalink)  
Antiguo 23/04/2016, 04:14
Avatar de NueveReinas  
Fecha de Ingreso: septiembre-2013
Ubicación: No tan Buenos Aires
Mensajes: 1.101
Antigüedad: 11 años, 3 meses
Puntos: 145
Respuesta: Cuales son lso carácter especiales peligrosos en PHP?

Te recomiendo utilizar mysqli_real_escape_string (manual de PHP).

Y, a ser posible, sentencias preparadas para interactuar con la base de datos.
__________________
¿Te sirvió la respuesta? Deja un +1
  #9 (permalink)  
Antiguo 23/04/2016, 07:28
Avatar de pateketrueke
Modernizr
 
Fecha de Ingreso: abril-2008
Ubicación: Mexihco-Tenochtitlan
Mensajes: 26.399
Antigüedad: 16 años, 8 meses
Puntos: 2534
Respuesta: Cuales son lso carácter especiales peligrosos en PHP?

Usar htmlentitities() es innecesario, pues el HTML no afecta la base de datos.

Lo único que consigues con eso es incrementar la cantidad de texto, porque ahora no vas a guardar < sino &lt; y así sucesivamente...
__________________
Y U NO RTFM? щ(ºдºщ)

No atiendo por MP nada que no sea personal.
  #10 (permalink)  
Antiguo 23/04/2016, 19:30
 
Fecha de Ingreso: diciembre-2015
Mensajes: 369
Antigüedad: 9 años
Puntos: 4
Respuesta: Cuales son lso carácter especiales peligrosos en PHP?

Cita:
Iniciado por NueveReinas Ver Mensaje
Te recomiendo utilizar mysqli_real_escape_string (manual de PHP).

Y, a ser posible, sentencias preparadas para interactuar con la base de datos.
ya lo use en el lafunciom el mysqli_real_escape_string pero el mio es msql no misqli no se cua les la diferencia entre los dos, que me daliaria de mejora el msqli

y no se que son sentencias preparadas si me explicas un poco de lo agradeceria.
  #11 (permalink)  
Antiguo 23/04/2016, 19:32
 
Fecha de Ingreso: diciembre-2015
Mensajes: 369
Antigüedad: 9 años
Puntos: 4
Respuesta: Cuales son lso carácter especiales peligrosos en PHP?

Cita:
Iniciado por pateketrueke Ver Mensaje
Usar htmlentitities() es innecesario, pues el HTML no afecta la base de datos.

Lo único que consigues con eso es incrementar la cantidad de texto, porque ahora no vas a guardar < sino &lt; y así sucesivamente...
el problema es que si lo dejo pueden escribir un FONT COLOR yo lo prove y el nick por ejemplo se le agregaba el el color de html y si no cerraba el condigo todo lo demas de abajo tomaba el color del codigo HTML
  #12 (permalink)  
Antiguo 23/04/2016, 19:51
Avatar de kip13  
Fecha de Ingreso: agosto-2011
Mensajes: 167
Antigüedad: 13 años, 4 meses
Puntos: 13
Respuesta: Cuales son lso carácter especiales peligrosos en PHP?

Puedes entrar aca para despejar tu duda entre Mysql y Mysqli.

http://www.forosdelweb.com/f18/mysql...-mysql-428741/

Lee un poco y te daras cuenta que la mejor opcion es Mysqli.

Saludos

Etiquetas: cuales, especiales, formulario, mysql, son
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 03:08.