Problemas con inyecciones SQL

lalogrosz · #1 (**permalink**) 13/07/2005, 14:04

Hola. estoy tratando de evitar este problema. Trate de poner el addslashes(), pero el problema que tengo es que tengo un objeto con info. En esta info puede haber alguna comilla, y el objeto lo serializo para guardarlo en la session. El problema esta en que cuando lo serializo y luego lo quiero unserialize, me da un error porque encuentra una comilla, por mas que este con escape.
Lo que hice fue cambien ambas comillas por "
Con eso anda bien, pero no se si es seguro.

Representaria lo mismo que una comilla comun como para hacer una inyeccion?

Gracias

jpinedo · #2 (**permalink**) 13/07/2005, 14:08

Para guardar un objeto en una sesión no necesitas utilizar las funciones serialize() y unserialize().
Basta con que lo guardes en la sesión y se serializa automáticamente.
Basta con hacer session_start() y los objetos se desserializan automáticamente.

Tal vez si pones un poco de código podríamos entenderte mejor.

Saludos

lalogrosz · #3 (**permalink**) 13/07/2005, 14:17

No creo que sea asi, porque no guarda bien el objeto. Mira lo que me tira...
ya lo habia probado antes, pero la unica solucion fue serializarlo

Unknown(): The script tried to execute a method or access a property of an incomplete object. Please ensure that the class definition <b>reparacion</b> of the object you are trying to operate on was loaded _before_ the session was started in D:\Desarrollos\famar\reparations.php on line 223

jpinedo · #4 (**permalink**) 13/07/2005, 14:37

El error ocurre porque primero tienes que escribir (o incluir) la definición de la clase y LUEGO hacer el session_start().

Utiliza el buscador del foro, y busca sesión en el foro de PHP orientado a objetos.
Encontrarás varios posts donde ya se trató ese problema. Por ejemplo:
http://www.forosdelweb.com/f68/recargar-no-accedo-metodos-285494/

Saludos

nicolaspar · #5 (**permalink**) 14/07/2005, 22:25

Podes usar stripslashes:
unserialize(stripslashes($valorSerializado))