[SOLUCIONADO] Evitar SQL injection en buscador

guardarmicorreo · #1 (**permalink**) 24/06/2013, 03:42

Hace un día terminé mi validador para registro de usuarios.

Ahora estoy creando un buscador interno con MYSQL y PHP.
Con el validador logré que si el usuario introducía unos parámetros me dijera si entre ellos había SQL injection, si la contraseña tenía al menos 6 caracteres y además si el usuario y el email ya estaban inscritos.

El problema es que no quiero que el usuario pueda hacer SQL injection al utilizar el buscador.
Pero si excluyo las palabras de SQL injection y en un post hablo sobre este tema no podrá buscar dicho tema.

¿Hay alguna manera de solucionar esto? ¿puede ser alguna forma de escape?

Gracias! :)

Lobito14 · #2 (**permalink**) 24/06/2013, 05:16

Hace pocos días se estuvo hablando en un post sobre el mismo tema.

Hackeo de la web

En ese post se dieron una buena cantidad de recomendaciones y se aportó enlaces con buena documentación para evitar, entre otros problemas de seguridad, las inyecciones SQL.

Espero que te sirva de ayuda.

Saludos.

guardarmicorreo · #3 (**permalink**) 24/06/2013, 05:28

Cita:

Iniciado por Lobito14

Hace pocos días se estuvo hablando en un post sobre el mismo tema.

Hackeo de la web

En ese post se dieron una buena cantidad de recomendaciones y se aportó enlaces con buena documentación para evitar, entre otros problemas de seguridad, las inyecciones SQL.

Espero que te sirva de ayuda.

Saludos.

gracias, leyendo vi un comentario de tribi donde dirige a unas recomendaciones para evitar sql injection en la consulta.

para evitar sql injection en las consultas hay que utilizar

Código PHP:

Ver originalmysqli_real_scape_string();

ahora puedo continuar :D

gracias!!!

#4 (**permalink**) 24/06/2013, 11:59

Cita:

Iniciado por guardarmicorreo

Hace un día terminé mi validador para registro de usuarios.

Ahora estoy creando un buscador interno con MYSQL y PHP.

Gracias! :)

estas usando mysql o mysqli ? por que dices en el post que usas mysql pero quieres implementar mysqli_real_scape_string

guardarmicorreo · #5 (**permalink**) 24/06/2013, 14:36

Cita:

Iniciado por webankenovi

estas usando mysql o mysqli ? por que dices en el post que usas mysql pero quieres implementar mysqli_real_scape_string

me refiero a que estoy usando la base de datos MYSQL, las conexiones las realizo en mysqli (el PDO todavía no he tenido tiempo de detenerme a estudiarlo detenidamente).

#6 (**permalink**) 24/06/2013, 14:40

ok ok jeje
te dejo info importante si vas a usar mysqli_real_scape_string

http://www.php.net/manual/es/mysqli....ape-string.php

Precaución
Seguridad: el conjunto de caracteres predeterminado

El conjunto de caracteres debe ser establecido a nivel del servidor, o con la función mysqli_set_charset() de la API para que afecte a mysqli_real_escape_string(). Véase la sección de conceptos sobre conjuntos de caracteres para más información.

guardarmicorreo · #7 (**permalink**) 24/06/2013, 14:54

Cita:

Iniciado por webankenovi

ok ok jeje
te dejo info importante si vas a usar mysqli_real_scape_string

http://www.php.net/manual/es/mysqli....ape-string.php

Precaución
Seguridad: el conjunto de caracteres predeterminado

El conjunto de caracteres debe ser establecido a nivel del servidor, o con la función mysqli_set_charset() de la API para que afecte a mysqli_real_escape_string(). Véase la sección de conceptos sobre conjuntos de caracteres para más información.

entiendo que se refiere al conjunto de caracteres que afecta a mysqli_real_escape_string(); como un cotejamiento que debe estar a nivel servidor, no?

ahora, ¿eso significa que en la clase que utilizo para conectarme tengo que definir el conjunto de caracteres entonces?