Foros del Web » Programando para Internet » PHP »

mysqli preparestatement htmlentities

Estas en el tema de mysqli preparestatement htmlentities en el foro de PHP en Foros del Web. Hola como están campeones?. Bueno estoy desarrollando una aplicación con mysqli y estoy en una gran duda. mysqli como sabemos, nos ofrece preparar consultas. (preparestatement), ...
  #1 (permalink)  
Antiguo 06/12/2011, 22:49
 
Fecha de Ingreso: agosto-2011
Mensajes: 161
Antigüedad: 13 años, 3 meses
Puntos: 7
mysqli preparestatement htmlentities

Hola como están campeones?.

Bueno estoy desarrollando una aplicación con mysqli y estoy en una gran duda.

mysqli como sabemos, nos ofrece preparar consultas. (preparestatement),
y me vi en el caso de pedir sus humildes opiniones con respecto a lo sig :

en una parte de la aplicación el usuario puede guardar codigo, y para evitar sql injection estoy transformando lo que el usuario escribe en entidades.(Ya que escribira puro codigo) con htmlentities().

Por lo cual toda la cadena quedara en entidades... ¿ Sera necesario preparar la consulta ?.

Como sabemos, preparar la consulta , atar las variables ( bind ), y ejecutarla
lleva un par de lineas mas que ejecutar un query simple.

Vale la pena hacerlo para ganar rendimiento en el sistema ? (ya que se supone que las consultas preparadas se demoran menos en la ejecución.)

Alguien me podria dar su opinion :) ? Graaaaaaaaaaaacias !
  #2 (permalink)  
Antiguo 06/12/2011, 23:17
Avatar de pateketrueke
Modernizr
 
Fecha de Ingreso: abril-2008
Ubicación: Mexihco-Tenochtitlan
Mensajes: 26.399
Antigüedad: 16 años, 7 meses
Puntos: 2534
Respuesta: mysqli preparestatement htmlentities

Creo que primero debes tener claros los conceptos de XSS y SQL Injection, porque el convertir las entidades no tiene que ver con SQL Injection pero si con XSS o incluso CSRF.

Igualmente hay dos conceptos que hay que saber manejar: escapar y filtrar.

Escapar caracteres es lo que hacen lo bindings, es lo que hace addslashes(), etc. El resultado es el mismo contenido pero modificado de tal manera que no ocasione problemas al interpretarse.

Por lo tanto el filtrado conserva una parte de los datos intactos mientras que elimina lo que no es permitido o seguro. De cualquier forma el contenido filtrado también debe ser escapado siempre.

El HTML mal formado o malicioso no hace daño mientras esté en la base de datos, cuando trasciende al navegador sin ser filtrado es cuando arruina la cosa.

El SQL mal formado o maleado suele afectar solamente al servidor de base de datos.

En definitiva debes escapar siempre, pero no el HTML!!

Es un error pensar que htmlentities() y similares afectan al SQL pues eso arruina el formato y así hay mas proceso entre escapar y des-escapar las entidades.

Siempre hay que escapar nuestra consultas, no siempre las entidades.
__________________
Y U NO RTFM? щ(ºдºщ)

No atiendo por MP nada que no sea personal.
  #3 (permalink)  
Antiguo 07/12/2011, 00:24
Avatar de dual3nigma
Colaborador
 
Fecha de Ingreso: febrero-2010
Ubicación: Ciudad de México
Mensajes: 295
Antigüedad: 14 años, 8 meses
Puntos: 122
Respuesta: mysqli preparestatement htmlentities

jajaja por lo de nuestras humildes opiniones

Sobre tu tema, el maestro pateketrueke te da una muy buena introducción al tema. mysql prepared statements es tal vez un poco mas un tema de seguridad que de rendimiento

Saludos
  #4 (permalink)  
Antiguo 07/12/2011, 07:53
 
Fecha de Ingreso: agosto-2011
Mensajes: 161
Antigüedad: 13 años, 3 meses
Puntos: 7
Respuesta: mysqli preparestatement htmlentities

Gracias pateketrueke !.

Ahora bien, que me recomendarias tu hacer para la aplicacion ?

En la cual el usuario pueda guardar codigo , y cuando el quiera mostrarlo en pantalla.

¿Cuales son los pasos que tiene que seguir la cadena en una situacion como esta?


Muchas gracias.

Etiquetas: html, htmlentities, mysql, mysqli, sql, variables, usuarios
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 11:36.