Inyecciones a SQL?

dkmarley · #1 (**permalink**) 02/05/2009, 09:11

Saludos!!!!

Bueno pues tengo la siguiente duda haber si me podeis hechar un cable, para el proyecto del grado me han mandado un "aplicacion web" con php que registre la entradas/salidas de los alumnos , y al principio de todo para listar , registrar entradas/salidas etc tenemos una autentificacion de usuario y se que mi profesor va a intentar entrar sin saber la contraseña, con alguna inyeccion a sql o trucando el if tonce... queria saber si podeis recomendarme alguna funcion que compruebe [ ', - , ), ( ] signos en total , secuencias sql etc. o como contemplar esa posibilidad .... nose si me explicado del todo bien ya me lo comentais ustedes xDD

Saludos y Paz

acoevil · #2 (**permalink**) 02/05/2009, 09:20

A ver mira estas funciones y si entras a la pagina podras ver detalladamente como se usan, ademas de buscar en el buscador de google de esta web colocando el nombre de la funcion

http://www.php.net/mysql_real_escape_string

http://www.php.net/strip-tags

function no_permitidos($cadena)
{
$nopermitidos = array("'",'\\','<','>',"\"",";","$","%","&","/","|","{","}","[","]","+","#");
$cadena = str_replace($nopermitidos,"", $cadena);
return $cadena;
}

Mira dale una leida a estas funciones String

http://www.php.net/strings

dkmarley · #3 (**permalink**) 02/05/2009, 09:40

Buenas tio, gracias por tu rapidez xDD

de lujo toda esa informacion, le voy a hechar un ojo aora mismo , solo 1 pregunta el str_replace si se combina con el if ¿buscaria los signos de la variable en tu caso "nopermitidos" en la variable ke le indiquemos por ejemplo $nombre?

de nuevo gracias por la informacion

Saludos y Paz!

acoevil · #4 (**permalink**) 02/05/2009, 09:43

$nombre="El nombre #";

$nombre=no_permitidos($nombre);

echo $nombre

Ronruby · #5 (**permalink**) 02/05/2009, 10:34

No creo que sea buena idea eliminar caracteres de una cadena que introduce el usuario sin avisarle de estos cambios.

Con mysql_real_escape_string() es suficiente para evitar inyección SQL. Y con htmlentities() es suficiente para XSS.

dkmarley · #6 (**permalink**) 02/05/2009, 10:57

yo he combinado los 2 que me habeis comentado e creado una lista de caracteres que no quiero y los he comprobado con str_replace y ademas despues e puesto el mysql_real_escape_string xDD

os qeria preguntar una nueva duda
¿ai alguna forma de que si el if es correcto (mysql_num_rows = 1) se carge una pagina nueva automaticamente? o ¿tengo que ponerle un enlace que pinxe y lo dirija a ella?

Saludos y Paz

Ronruby · #7 (**permalink**) 02/05/2009, 10:59

Puedes usar header()

header("Location: pagina.php");

Pero, no debes haber impreso NADA antes de usar esta función, o te aparecera un famoso error. xD

danideu · #8 (**permalink**) 02/05/2009, 15:19

Has odio hablar de la función HtmlEntities? ... busca por Google ...

Saludos.