Foros del Web » Programando para Internet » PHP »

Evitar la inyección SQL

Estas en el tema de Evitar la inyección SQL en el foro de PHP en Foros del Web. Hola buenas tardes estoy trabajando en un proyecto y ya casi termino pero ahora me preocupa algo la inyeccion SQL y mi pregunta es hay ...
  #1 (permalink)  
Antiguo 08/08/2011, 15:21
Avatar de shiriutoon  
Fecha de Ingreso: agosto-2011
Ubicación: Celaya GTO
Mensajes: 34
Antigüedad: 13 años, 4 meses
Puntos: 4
Pregunta Evitar la inyección SQL

Hola buenas tardes estoy trabajando en un proyecto y ya casi termino pero ahora me preocupa algo la inyeccion SQL y mi pregunta es hay alguna funcion pra evitar que metan codigo a mis bases de datos ?
  #2 (permalink)  
Antiguo 08/08/2011, 15:38
Avatar de skiper0125  
Fecha de Ingreso: octubre-2010
Ubicación: $this->Mexico('Toluca');
Mensajes: 1.127
Antigüedad: 14 años, 2 meses
Puntos: 511
Respuesta: Evitar la inyección SQL

Hola que tal.

La forma más indicada para evitar este tipo de infiltración en mi forma de pensar es tener un adecuado sistema de registro y acceso, en el cual tu como programador limitas al usuario de que puede o no hacer, ya que de esta forma te podrás dar cuenta quien se quiere infiltrar en tu sistema de manera fácil.

Ya independientemente de la funcionalidad de tu sistema tomas en cuenta que no es tan vulnerable para ese tipo de ataques.

Saludos
__________________
Recuerda que estamos aquí para orientarte, y no para hacer tu trabajo.
Si mi aporte fue de ayuda, recuerda que agradecer no cuesta nada +1

Skiper0125
  #3 (permalink)  
Antiguo 08/08/2011, 16:18
Avatar de Gambinoh  
Fecha de Ingreso: diciembre-2010
Mensajes: 348
Antigüedad: 14 años
Puntos: 11
Respuesta: Evitar la inyección SQL

Hola shiriutoon, para evitar las inyecciones SQL existe una función llamada mysqli_real_escape_string, también puedes usar mysql_real_escape_string.

Código PHP:
Ver original
  1. //Descripción
  2.  
  3. string mysqli_real_escape_string ( mysqli $link , string $escapestr )
  4.  
  5. //Se recoge un parámetro llamado cadena que ha sido enviado a través de la url
  6.  
  7. $cadena = mysqli_real_escape_string($conexion, $_GET['cadena']);

Última edición por Gambinoh; 08/08/2011 a las 16:25
  #4 (permalink)  
Antiguo 08/08/2011, 22:16
 
Fecha de Ingreso: agosto-2011
Ubicación: Venezuela
Mensajes: 108
Antigüedad: 13 años, 4 meses
Puntos: 5
Respuesta: Evitar la inyección SQL

tambien puedes usar las funciones de php llamadas htmlentities() y strip_tags() :D puedes usar eso q te he dado junto con lo q te dio Gambinoh y no sera nada vulnerable :D suerte

Etiquetas: inyección, sql-inyeccion
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 23:03.