Evitar codigo malicioso en Base de datos

rodrigo791 · #1 (**permalink**) 15/09/2012, 14:46

Buenas, mi duda es si está bien hecho esto así, ya que uso las 2 funciones una para convertir a entidades html los caracteres como <, >, etc, y otra función para escapar de los caracteres que podrían afectar la consulta SQL.

No tengo problemas con esto, solo quiero saber que piensan de usar las 2 así, he estudiado la otra función muy parecida a htmlspecialchars() que es htmlentities() y creo que no me veo obligado a usarla, creo que con htmlspecialchars() está todo mas que bien.

Código PHP:

Ver original<?php
 
$conexion = mysqli_connect("localhost","root","") or die(mysqli_error($conexion)); //me conecto a servidor con extension mysqli
 
$base = mysqli_select_db($conexion,"basedeprueba") or die(mysqli_error($conexion)); //selecciono base de datos
 
 //capturo dato y aplico funciones de seguridad sql y para caracteres especiales html
$nombre = htmlspecialchars(mysqli_real_escape_string($conexion,$_POST['nombre']),ENT_QUOTES);
$apellido = htmlspecialchars(mysqli_real_escape_string($conexion,$_POST['apellido']),ENT_QUOTES);
$email = htmlspecialchars(mysqli_real_escape_string($conexion,$_POST['email']),ENT_QUOTES); 
 
$inserto = "INSERT INTO tablaprueba (nombre,apellido,email) VALUES('$nombre','$apellido','$email')"; //creo sentencia 
 
$ejecuto_consulta = mysqli_query($conexion,$inserto) or die(mysqli_error($conexion));  //ejecuto sentencia
 
mysqli_close($conexion);
 
?>

Por el momento está funcionando perfectamente, así que ya le queda para otro que quiera como aporte para la seguridad en sus proyectos.

juanmanuel19686 · #2 (**permalink**) 16/12/2012, 08:30

Yo tengo armada esta función, que me ha servido mucho en materia de seguridad para filtrar el texto que ingreso a la base de datos, espero te sirva como para tenerla archivada por ahí.
Es bastante rudimentaria pero me ha funcionado siempre...
Saludos.

Código PHP:

  <?php
function limpiador($texto){
$cod[]='#';
$cod[]='&';
$cod[]='!';
$cod[]=''';
$cod[]='$';
$cod[]='%';
$cod[]='(';
$cod[]=')';
$cod[]='*';
$cod[]='+';
$cod[]=',';
$cod[]='-';
$cod[]='.';
$cod[]='/';
$cod[]=':';
$cod[]='<';
$cod[]='=';
$cod[]='>';
$cod[]='?';
$cod[]='@';
$cod[]='[';
$cod[]='';
$cod[]=']';
$cod[]='^';
$cod[]='_';
$cod[]='`';
$cod[]='{';
$cod[]='|';
$cod[]='}';
$cod[]='~';
$cod[]='¡';
$cod[]='¢';
$cod[]='£';
$cod[]='¤';
$cod[]='¥';
$cod[]='¦';
$cod[]='§';
$cod[]='¨';
$cod[]='©';
$cod[]='ª';
$cod[]='«';
$cod[]='¬';
$cod[]='*';
$cod[]='®';
$cod[]='¯';
$cod[]='°';
$cod[]='±';
$cod[]='²';
$cod[]='³';
$cod[]='´';
$cod[]='µ';
$cod[]='¶';
$cod[]='·';
$cod[]='¸';
$cod[]='¹';
$cod[]='º';
$cod[]='»';
$cod[]='¼';
$cod[]='½';
$cod[]='¾';
$cod[]='¿';
$cod[]='À';
$cod[]='Á';
$cod[]='Â';
$cod[]='Ã';
$cod[]='Ä';
$cod[]='Å';
$cod[]='Æ';
$cod[]='Ç';
$cod[]='È';
$cod[]='É';
$cod[]='Ê';
$cod[]='Ë';
$cod[]='Ì';
$cod[]='Í';
$cod[]='Î';
$cod[]='Ï';
$cod[]='Ð';
$cod[]='Ñ';
$cod[]='Ò';
$cod[]='Ó';
$cod[]='Ô';
$cod[]='Õ';
$cod[]='Ö';
$cod[]='×';
$cod[]='Ø';
$cod[]='Ù';
$cod[]='Ú';
$cod[]='Û';
$cod[]='Ü';
$cod[]='Ý';
$cod[]='Þ';
$cod[]='ß';
$cod[]='à';
$cod[]='á';
$cod[]='â';
$cod[]='ã';
$cod[]='ä';
$cod[]='å';
$cod[]='æ';
$cod[]='ç';
$cod[]='è';
$cod[]='é';
$cod[]='ê';
$cod[]='ë';
$cod[]='ì';
$cod[]='í';
$cod[]='î';
$cod[]='ï';
$cod[]='ð';
$cod[]='ñ';
$cod[]='ò';
$cod[]='ó';
$cod[]='ô';
$cod[]='õ';
$cod[]='ö';
$cod[]='÷';
$cod[]='ø';
$cod[]='ù';
$cod[]='ú';
$cod[]='û';
$cod[]='ü';
$cod[]='ý';
$cod[]='þ';
$cod[]='ÿ';
$cod[]='Œ';
$cod[]='œ';
$cod[]='Š';
$cod[]='š';
$cod[]='Ÿ';
$cod[]='ƒ';
$cod[]='–';
$cod[]='—';
$cod[]='‘';
$cod[]='’';
$cod[]='‚';
$cod[]='“';
$cod[]='”';
$cod[]='„';
$cod[]='†';
$cod[]='‡';
$cod[]='•';
$cod[]='…';
$cod[]='‰';
$cod[]='€';
$cod[]='™';
$cod[]='<strong>';
$cod[]='</strong>';
$cod[]='<em>';
$cod[]='</em>';
$cod[]='<br />';
$cod[]='"';
$cod[]='"';
$cod[]='"';


$caracter[]='#';
$caracter[]='&';
$caracter[]='!';
$caracter[]="'";
$caracter[]='$';
$caracter[]='%';
$caracter[]='(';
$caracter[]=')';
$caracter[]='*';
$caracter[]='+';
$caracter[]=',';
$caracter[]='-';
$caracter[]='.';
$caracter[]='/';
$caracter[]=':';
$caracter[]='<';
$caracter[]='=';
$caracter[]='>';
$caracter[]='?';
$caracter[]='@';
$caracter[]='[';
$caracter[]='\\';
$caracter[]=']';
$caracter[]='^';
$caracter[]='_';
$caracter[]='`';
$caracter[]='{';
$caracter[]='|';
$caracter[]='}';
$caracter[]='~';
$caracter[]='¡';
$caracter[]='¢';
$caracter[]='£';
$caracter[]='¤';
$caracter[]='¥';
$caracter[]='¦';
$caracter[]='§';
$caracter[]='¨';
$caracter[]='©';
$caracter[]='ª';
$caracter[]='«';
$caracter[]='¬';
$caracter[]='*';
$caracter[]='®';
$caracter[]='¯';
$caracter[]='°';
$caracter[]='±';
$caracter[]='²';
$caracter[]='³';
$caracter[]='´';
$caracter[]='µ';
$caracter[]='¶';
$caracter[]='·';
$caracter[]='¸';
$caracter[]='¹';
$caracter[]='º';
$caracter[]='»';
$caracter[]='¼';
$caracter[]='½';
$caracter[]='¾';
$caracter[]='¿';
$caracter[]='À';
$caracter[]='Á';
$caracter[]='Â';
$caracter[]='Ã';
$caracter[]='Ä';
$caracter[]='Å';
$caracter[]='Æ';
$caracter[]='Ç';
$caracter[]='È';
$caracter[]='É';
$caracter[]='Ê';
$caracter[]='Ë';
$caracter[]='Ì';
$caracter[]='Í';
$caracter[]='Î';
$caracter[]='Ï';
$caracter[]='Ð';
$caracter[]='Ñ';
$caracter[]='Ò';
$caracter[]='Ó';
$caracter[]='Ô';
$caracter[]='Õ';
$caracter[]='Ö';
$caracter[]='×';
$caracter[]='Ø';
$caracter[]='Ù';
$caracter[]='Ú';
$caracter[]='Û';
$caracter[]='Ü';
$caracter[]='Ý';
$caracter[]='Þ';
$caracter[]='ß';
$caracter[]='à';
$caracter[]='á';
$caracter[]='â';
$caracter[]='ã';
$caracter[]='ä';
$caracter[]='å';
$caracter[]='æ';
$caracter[]='ç';
$caracter[]='è';
$caracter[]='é';
$caracter[]='ê';
$caracter[]='ë';
$caracter[]='ì';
$caracter[]='í';
$caracter[]='î';
$caracter[]='ï';
$caracter[]='ð';
$caracter[]='ñ';
$caracter[]='ò';
$caracter[]='ó';
$caracter[]='ô';
$caracter[]='õ';
$caracter[]='ö';
$caracter[]='÷';
$caracter[]='ø';
$caracter[]='ù';
$caracter[]='ú';
$caracter[]='û';
$caracter[]='ü';
$caracter[]='ý';
$caracter[]='þ';
$caracter[]='ÿ';
$caracter[]='&#338;';
$caracter[]='œ';
$caracter[]='Š';
$caracter[]='š';
$caracter[]='Ÿ';
$caracter[]='ƒ';
$caracter[]='–';
$caracter[]='—';
$caracter[]='‘';
$caracter[]='’';
$caracter[]='';
$caracter[]='“';
$caracter[]='”';
$caracter[]='„';
$caracter[]='†';
$caracter[]='‡';
$caracter[]='•';
$caracter[]='…';
$caracter[]='‰';
$caracter[]='€';
$caracter[]='™';
$caracter[]='ennegrita';
$caracter[]='finnegrita';
$caracter[]='encursiva';
$caracter[]='fincursiva';
$caracter[]="\n";
$caracter[]="“";
$caracter[]="”";
$caracter[]='"';

$numero=0;

while($numero <= 154) { 
    //explora el array de caracteres uno por uno desde el valor [0] hasta el valor final 128 caracteres        
$texto=str_replace ($caracter[$numero], $cod[$numero], $texto);        
$numero=$numero+1;
}

$textofinal=$texto;

return $textofinal;
}
?>

#3 (**permalink**) 16/12/2012, 12:36

tambien podrias verificar cada dato que vas a guardar sea del tipo que debe de ser por ejemplo

un nombre pues solo puede contener letras por ejemplo , todo lo demas se escapa y/o se verifica que no exista un caracter que no sea letras

apellido lo mismo

y email verifica que sea un email

saludos