expresiones regulares contra inyecciones sql

Hola, tengo una duda:
Estoy haciendo una aplicación web, en la que en los inputs que tengo solo se pueden meter letras, numeros o ambos.

Para cada uno tengo definido unas expresiones regulares. Las cuales no admiten ya de por si caracteres que no sean letras ni numeros.

Mi duda es: como ya se que no van a tener caracteres tales como ",<,>,/, etc, etc

¿¿Sigue haciendo falta que por seguridad compruebe (con mysql_real_escape_string(), strip_tags(), htmlentities() y otras) los posibles ataques XSS e inyecciones SQL??

Un saludo, Gracias!

Si realmente estan filtradas todas las entradas, entonces ya estas protegido; unicamente no se te pase proteger TODAS tus variables $_GET y $_POST

nomas pon atencion que si ademites el caracter % si te pueden meter una inyeccion

Pues la verdad, para mi modo de ver, nunca esta de mas hacer una doble verificación de los campos... Uno nunca sabe con que tipo de usuarios se va a topar.

Yo por ejemplo utilizo java para verificar los campos... después de eso se los paso a PHP y les hago otra verificación y de ahí a la base de datos que realiza otra...

Pero como te digo es nada mas un punto de vista.

En el lado cliente mediante Javascript uso las mismas expresiones regulares y luego en php otra vez.

expre-alfanum /^\w áéíóúÁÉÓÍÚ$/ solo letras y numeros :D

Despues de todas maneras antes de guardar los datos paso por mysql_real_escape_string().

Mi problema es al obtenerlos y meterlos en los inputs. Que los sacaba mediante htmlentitites( ) y claro los acentos me los pone como &oacute;&aacute;.... Entonces si me puedo ahorrar usar hmtlentities(), pues mejor :)

odio las ER !!!!!!!!!

no puedo con ellas!

Porque?? a mi me resultan bastante útiles. Habrá que ver también cuando y como usarlas pero bueno.

Cierto, siempre es bueno hacer esos 3 niveles de verificacion

no las puedo aprender

eso si tengo ganas hacer un sitio solo de aportes

y entre esos aportes una seccion de ER con todas las soluciones listas para implementar

idem

¿y porque no puedes con ellas las vas a odiar?

es como si dijeras, odio a las mujeres, ¡¡porque no las entiendo!!

bueno, hablando en serio las expresiones regulares (aka regex) son de lo mejor para diversas situaciones...

yo lo que odio es su tono de conformismo, si no pueden con ellas es solo porque no quieren... no mas!

Pateketrueke, y que opinas de usarlas para mantener la seguridad del sitio? Pues si en el php no pasa la comparacion, no lo inserta en la base de datos.

yo opino que no es necesario usar regex para filtrar consultas de SQL, la verdad es que siempre debería almacenarse la información tal cual la introduce el usuario...

imagina un sitio para snippets de código, y que alguien postee alguna porción de código SQL... ¿si usamos regex para evitar ciertas cosas, como distinguir lo bueno de lo malo?

la información en su defecto debería almacenarse escapada claramente, y eso asegura que aunque se intente atacar mediante una inyección es en vano, pues la información ya no contiene vulnerabilidades...

así que una inyección de SQL siempre será efectiva, si no almacenamos con seguridad nuestra información, independientemente de lo que ésta contenga!!

Si, yo tambien pienso asi. Pero en este caso particular, solo van a introducirse datos con letras o con numeros, el resto de signos son incesarios. Por eso pense esta solucion, que creia correcta...

anda!!

el ejemplo que yo puse es una caso extremo, donde la información debería conservarse intacta...

pero en tu caso no hay problema, y de hecho yo veo correcto entonces el uso de expresiones regulares para normalizar y/o validar nuestra entrada...

Pero es que yo he leído muchos casos en los que las bases de datos son dañadas por códigos que generan inserciones automáticamente... o cosas por el estilo, entonces yo por eso hago esos tres niveles de seguridad...

Yo se que van a decir EXAGERADO pero para mi la información que se almacena en mi BD es primordial, y mas porque ahí guardo la parte contable y otras cosas que NO SE PUEDEN PERDER por un imbécil que solo quiere hacer daño.

Ademas ustedes saben que el internet esta lleno de !@#$% que no piensas sino en buscar vulnerabilidades para sentirse mas hombrecitos.

Espero que no me vayan a tirar muy duro.