Magic Quotes y SQL Inyection

DeeR · #1 (**permalink**) 16/03/2007, 00:59

Holas que tal, se que el Tema de SQL Inyection se ha rehablado muchas veces en el foro, tengo una pequeña duda, ya que he tenido que operar con Servers con magic_quotes_gpc activadas o no.

Si tengo activadas las magic_quotes_gpc , para todo tipos de consultas donde tomemos variables entrantes (POST y GET) ¿ No es necesario usar mysql_escape_string() ? (ya que los " y ' ya vienen con su respectivo slash).

Ya que aplico mysql_escape_string a los datos externos (POST,GET) a las consultas, cuando trabajo con magic_quotes_gpc OFF , tambien le aplico mysql_escape_string a toda consulta con datos internos (variables del script o variables extraidas desde bd,fichero de text, etc ... )

Saludos

Panino5001 · #2 (**permalink**) 16/03/2007, 07:27

Lo recomendable, según el manual es aplicar la función comillas inteligentes:

Código PHP:

  <?php

// Aplicar comillas sobre la variable para hacerla segura

function comillas_inteligentes($valor)

{

   // Retirar las barras

   if (get_magic_quotes_gpc()) {

       $valor = stripslashes($valor);

   }

 
   // Colocar comillas si no es entero

   if (!is_numeric($valor)) {

       $valor = "'" . mysql_real_escape_string($valor) . "'";

   }

   return $valor;

}

 
// Conexion

$enlace = mysql_connect('mysql_host', 'mysql_usuario', 'mysql_contrasenya')

   OR die(mysql_error());

 
// Realizar una consulta segura

$consulta = sprintf("SELECT * FROM usuarios WHERE usuario=%s AND password=%s",

           comillas_inteligentes($_POST['username']),

           comillas_inteligentes($_POST['password']));

 
mysql_query($consulta);

?>

Acá lo explican: http://www.php.net/manual/es/functio...ape-string.php