Para prevenir la inyección SQL es suficiente utilizar mysql_real_escape_string()?
O, lo que es lo mismo: Hay maneras de conseguir inyectar a pesar de que se depure el código con mysql_real_escape_string()?
Saludos y gracias.
05/06/2008, 07:30
| |||
| |||
| Prevenir inyección SQL Para prevenir la inyección SQL es suficiente utilizar mysql_real_escape_string()? O, lo que es lo mismo: Hay maneras de conseguir inyectar a pesar de que se depure el código con mysql_real_escape_string()? Saludos y gracias. |
|
05/06/2008, 07:46
| ||||
| ||||
| Respuesta: Prevenir inyección SQL me parece que si hay maneras.... seguro ya viste lo ke dice Wikipedia ... te recomiendo lo leas... (si no lo has echo)
__________________ Y U NO RTFM? щ(ºдºщ) No atiendo por MP nada que no sea personal. |
|
05/06/2008, 08:34
| |||
| |||
| Respuesta: Prevenir inyección SQL Cita: He leido algo en wikipedia, pero no se si es lo que tu dices, hay diferentes artículos:
Iniciado por pateketrueke  me parece que si hay maneras.... seguro ya viste lo ke dice Wikipedia ... te recomiendo lo leas... (si no lo has echo) Cita: La cuestión es si es suficiente con usar esta función o hay que combinarla con alguna otra para conseguir una verdadera prevención?
Iniciado por Wikipedia En PHP, hay diferentes funciones que nos pueden servir de ayuda para usar con distintos sistemas de gestión de bases de datos. Para MySQL, la función a usar es mysql_real_escape_string: |
|
05/06/2008, 08:38
| ||||
| ||||
| Respuesta: Prevenir inyección SQL lo importante (al menos para mi) no es usar las funciones.... sino, saber como funciona un SQL injection... que es casi lo mismo a XSS de ese modo, podremos intervenir.. limpiar y sanar lo que deseemos sin tener que dejar todo el suspenso a una sola funcion.... en Wikipedia (o muchas otras paginas) hay ejemplos de como funcionan las SQL injection... y eso, si esta re c*bron .... pero hay que seguir analizandolo, suerte!
__________________ Y U NO RTFM? щ(ºдºщ) No atiendo por MP nada que no sea personal. |
|
05/06/2008, 08:45
| |||
| |||
| Respuesta: Prevenir inyección SQL Cita: Se como funcionan las inyecciones, aunque supongo que en algunos casos, para hacer un control más férreo se podría combinar con una función que reemplace los espacios por "" (en el caso de aquellas Select en las que el campo dado no debiera llevar espacios)
Iniciado por pateketrueke lo importante (al menos para mi) no es usar las funciones.... sino, saber como funciona un SQL injection... que es casi lo mismo a XSS de ese modo, podremos intervenir.. limpiar y sanar lo que deseemos sin tener que dejar todo el suspenso a una sola funcion.... en Wikipedia (o muchas otras paginas) hay ejemplos de como funcionan las SQL injection... y eso, si esta re c*bron .... pero hay que seguir analizandolo, suerte! Saludos y gracias, puede que me acabe currando una buena función para estar tranquilo ;) |
