Escribir nombre de variables en consultas SQL (forma especial)

Elfede171 · #1 (**permalink**) 11/09/2011, 07:55

Hola, bueno tenía una duda. Yo tengo diferentes varaibles de post que las cargo a travez de lo siguiente:

Código PHP:

Ver original$posts=array_keys($_POST);
$regPost = count($_POST)-1;
 
/*A travez de esto consigo los nombres de las variables que viene por post, por 
ejemplo (titulo, detalle, etc..)
Le doy un -1 porque las cuenta el submit cosa que no quiero.*/
 
/*Luego transformo los nombres de las variables que vienen por POST a variables 
fijas:*/
 
 for($i=1; $i<=$regPost; $i++)
    {
             eval("\$".$posts[$i]."=\$_POST['".$posts[$i]."'];");
    }
 
/* Con esto ya debería tener mis variables de los post en este tipo:
$titulo=$_POST['titulo'];
*/
 
//Luego genero la consulta:
 
$sql="INSERT INTO tabla (".$posts[0].") VALUES ("$".$posts[0].")";
 
 
//Ese es un ejemplo, le puse que agarre el primer registro que viene por POST.
//Y aquí viene el problema: Cuando hago esto me agrega a la base de datos, en 
//el atributo "titulo" un registro de valor "$titulo" cosa que enrealidad yo no 
//quiero, 
//yo solo quiero el valor de titulo y no su nombre.
//El problema es que yo no se qué variable va a venir por POST entonces no 
//puedo
//tirarme a un nombre en específico como por ejemplo: 
//$sql="INSERT INTO tabla (titulo) VALUES ('$titulo')";

Raziel_Ravenheart · #2 (**permalink**) 11/09/2011, 08:27

Bueno te responderé algo rápido, estas obteniendo esos datos por medio de la variable $_POST, lo que significa que estas enviando esos datos desde un formulario, y aparte de eso, ejecutas los valores en la variable $_POST directamente con eval... pfffff GRAVISIMO ERROR.

Eval te permite evaluar cualquier expresión, y si un usuario avanzado y malicioso, te envia una intrusión, un ataque XSS o peor una inyección sql, puedes despedirte de tu base de datos.
Mi consejo es que no utilices eval para nada, solo cuando seas tu mismo quien sabe de donde y como provienen los datos, mi consejo principal, es que cambies ese código para que no tengas que utilizar la función eval, aquí te dejo un documento de seguridad, que te recomiendo leas por completo:

http://www.forosdelweb.com/f18/inyeccion-xss-seguridad-php-eval-otras-funciones-ayuda-891245/
http://es.wikipedia.org/wiki/Eval#Seguridad
http://www.zonavirus.com/articulos/eval-la-funcion-maligna-de-javascript.asp

En el ultimo enlace dice que es de javascript, pero creeme cuando te digo, que es maligna en casi cualquier lenguaje de programación, y ahora también lee eesto:

http://mis-algoritmos.com/seguridad-en-aplicaciones-web

Por otro lado, para que deseas convertir las variables dentro de $_POST, si con un

foreach($_POST as $indice => $valor)

obtienes el indice en $indice y el valor en $valor, cuando $indice es el nombre de la variable que le asignaste desde el <form>, por medio del atributo name, mira el uso del foreach:

http://php.net/manual/es/control-structures.foreach.php

Exitos, y te recomiendo que cambies el código para que no uses la función eval. Tiene muchos riesgos si alguien se llega a dar cuenta incluso que no estas usando htmlentities o mysql_real_escape_string

Raziel_Ravenheart · #3 (**permalink**) 11/09/2011, 08:31

Por otro lado te puedo asegurar que el error estaría en en la variable

$sql="INSERT INTO tabla (".$posts[0].") VALUES ("$".$posts[0].")";

en el $ después de VALUES, no se si te equivocaste al poner los puntos, pero de todos modos no te aseguro nada, ya que el eval está tan complicado de entender, que seguro por lo menos yo me demoraría unos 15 mins analizandolo, jajajaja, pero bn ese no es el caso, el punto es que ya sabes lo mal que te puede ir usando eval y que para obtener los nombres de los indices basta con un foreach,.

Elfede171 · #4 (**permalink**) 11/09/2011, 09:14

Muchas gracias por la respuesta. Investigando descubrí que puedo evitar el eval como tu dices. Voy a leer mas sobre seguridad para implementarlo.

Saludos.