Foros del Web » Programando para Internet » PHP »

[SOLUCIONADO] Evitando SQL injection

Estas en el tema de Evitando SQL injection en el foro de PHP en Foros del Web. Buenas muchachos(as) estoy escribiendo pero aff necesito colocar la variable $play que es el nombre de una tabla, amigos esta linea estara bien? se que ...
  #1 (permalink)  
Antiguo 23/07/2014, 21:41
 
Fecha de Ingreso: julio-2014
Ubicación: Cúcuta, Norte de Santander
Mensajes: 5
Antigüedad: 10 años, 5 meses
Puntos: 0
Evitando SQL injection

Buenas muchachos(as)

estoy escribiendo pero aff necesito colocar la variable $play que es el nombre de una tabla, amigos esta linea estara bien? se que no, pues le agrego el nombre manualmente y funciona perfecto pero necesito agregarle esa variable se podra o no?


$qry=mysql_query("select * from '".$play."' where Codigo='".$id."'");

Agradezco su colaboracion!!!
  #2 (permalink)  
Antiguo 24/07/2014, 02:44
Avatar de gnzsoloyo
Moderador criollo
 
Fecha de Ingreso: noviembre-2007
Ubicación: Actualmente en Buenos Aires (el enemigo ancestral)
Mensajes: 23.324
Antigüedad: 17 años
Puntos: 2658
Respuesta: Evitando SQL injection

El control del sql-injection se hace fuera de la base.

Movido a PHP.
__________________
¿A quién le enseñan sus aciertos?, si yo aprendo de mis errores constantemente...
"El problema es la interfase silla-teclado." (Gillermo Luque)
  #3 (permalink)  
Antiguo 24/07/2014, 03:35
 
Fecha de Ingreso: julio-2014
Mensajes: 2
Antigüedad: 10 años, 4 meses
Puntos: 0
Respuesta: Evitando SQL injection

Te recomiendo utilizar mysqli y mírate el bind_params que precisamente se ocupa de eso...

yo siempre me apoyo con una función que tengo


Cita:
public static function safeParser($param){
$param = addslashes($param); //Protect with slashes
$param = strip_tags($param); //Strip HTML tags
$param = htmlspecialchars($param, ENT_QUOTES, 'UTF-8'); //Set the encoding for text to UTF-8

return $param;

}
Esto evita la lluvia pero no el que te mojes.
  #4 (permalink)  
Antiguo 24/07/2014, 07:03
 
Fecha de Ingreso: julio-2014
Ubicación: Cúcuta, Norte de Santander
Mensajes: 5
Antigüedad: 10 años, 5 meses
Puntos: 0
Respuesta: Evitando SQL injection

Mmmm pues realmente soy nuevo en esto de la programcion, pero si leere un poco mas sobre mysqli y gracias, esas funciones son para evitar introducir fragmentos de codigo html etiquetas y de mas...

Gracias por el aporte lo ajustare a mi codigo
  #5 (permalink)  
Antiguo 24/07/2014, 07:05
 
Fecha de Ingreso: julio-2014
Ubicación: Cúcuta, Norte de Santander
Mensajes: 5
Antigüedad: 10 años, 5 meses
Puntos: 0
Respuesta: Evitando SQL injection

gnzsoloyo,

:/ me faltan muchos conceptos para evitar no postear en el lugra equivocado :),

Etiquetas: evitando, injection, mysql, select, sql, tabla
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 05:41.