Error con mysql_real_escape_string

xenon254 · #1 (**permalink**) 17/10/2009, 06:26

Buenas a todos

Utilizo esta función para evitar la inyección de código malicioso. Aunque he leído que posiblemente no es suficiente..

Código:

function mysql_real_escape_array($t){
	return array_map("mysql_real_escape_string",$t);
}
$_POST = mysql_real_escape_array($_POST);
$_GET = mysql_real_escape_array($_GET);

Hasta ahora no me ha dado problemas, pero la he intentado utilizar para un script que me permite desde un formulario html subir varios archivos de forma dinámica y al procesarlo me sale este error:

Warning: mysql_real_escape_string() expects parameter 1 to be string, array given in /xxxxxxxxx/xxxxxx/xxxxx/xxxx/antinyeccion.php on line 3

Alguien podría indicarme el motivo?, es como si los arrays de tipo FILE no le gustasen...

Mil gracias y un saludo,

darkasecas · #2 (**permalink**) 17/10/2009, 08:55

Asi es, los arrays $_FILE "no le gustan", ya qe estos son arrays de 2 dimensiones, o sea, cada elemento del array $_FILE es un array, por lo tanto, al llamar a mysql_real_escape_string con cada elemento de $_FILE, le estas pasando como parametro un array, cuando esta espera una cadena.

pateketrueke · #3 (**permalink**) 17/10/2009, 10:19

Cita:

Iniciado por xenon254

Buenas a todos

Utilizo esta función para evitar la inyección de código malicioso. Aunque he leído que posiblemente no es suficiente..

Código:

function mysql_real_escape_array($t){
	return array_map("mysql_real_escape_string",$t);
}
$_POST = mysql_real_escape_array($_POST);
$_GET = mysql_real_escape_array($_GET);

Hasta ahora no me ha dado problemas, pero la he intentado utilizar para un script que me permite desde un formulario html subir varios archivos de forma dinámica y al procesarlo me sale este error:

Warning: mysql_real_escape_string() expects parameter 1 to be string, array given in /xxxxxxxxx/xxxxxx/xxxxx/xxxx/antinyeccion.php on line 3

Alguien podría indicarme el motivo?, es como si los arrays de tipo FILE no le gustasen...

Mil gracias y un saludo,

el error es muy claro...

dice que no se aceptan arrays(), solo strings... para mysql_real_escape_string()

y obviamente, $_GET, $_POST, $_FILES, etc... son arrays!!!

darkasecas · #4 (**permalink**) 17/10/2009, 10:23

Cita:

Iniciado por pateketrueke

el error es muy claro...

dice que no se aceptan arrays(), solo strings... para mysql_real_escape_string()

y obviamente, $_GET, $_POST, $_FILES, etc... son arrays!!!

No tan claro al parecer (yo cometi el mismo error que tu al pensar eso, pero antes de postear lei de nuevo y el error no es ese), si lees con atencion el codigo te daras cuenta qe no esta llamando a mysql_real_escape_string pasandole esos arrays, sino pasandole cada uno de los elementos de esos arrays.

El error, como mencione, es que en $_FILES, cada uno de los elementos si es un array :)

xenon254 · #5 (**permalink**) 17/10/2009, 11:45

Buenas

Gracias por vuestras explicaciones. La verdad es que solo he tenido problema con $_FILES en todas las pruebas, por lo que cierto es que no soporta lo multidimensional.

Visto el problema, busco la solución.

Mi pregunta es, ¿como puedo indicarle que si encuentra estos casos, no los evalue, pero siga siendo efectivo para cumplir su misión?, que no es otra que la de evitar al inyección, como bien sabéis.

He visto otro código, podéis verlo aquí.
http://unidadlocal.com/Evitar_inyecc...ascript_en_PHP

darkasecas · #6 (**permalink**) 17/10/2009, 12:02

No suelo dar codigo hecho pero esto me intereso :o
Puedes probar este par de funciones

Código PHP:

  function mysql_real_escape_array2($t){
if(is_array($t))
    return array_map("mysql_real_escape_string",$t);
else
    return mysql_real_escape_string($t);
}
function mysql_real_escape_array($t){

    return array_map("mysql_real_escape_array2",$t);
}

Funcionaria igual llamando a mysql_real_escape_array

xenon254 · #7 (**permalink**) 18/10/2009, 04:09

Muchas gracias por tu código. Funciona sin problemas.

Respecto a su utilidad para evitar la inyección, ¿este método es seguro?.