Seguridad "sql injection"

dadabit · #1 (**permalink**) 05/02/2009, 11:36

Me gustaria saber sus opiniones sobre seguridad.
Estoy desarrollando una aplicación web y un requisito que me pidieron es mantener la seguridad de los datos..
mi pregunta es:
¿qué es mejor usar?

hacer los querys con sprintf
ejemplo:
$select2=sprintf("SELECT id_alumno, apellido, nombre, opcion1, estado FROM alumno
WHERE MATCH (nombre,apellido) AGAINST ('$nombre')
ORDER BY apellido",addcslashes(mysql_real_escape_string($autor_nombre),'%_'));

o utilizar store procedures desde mysql.

Creo que lo segundo conviene por tiempo de respuesta mas rápido....

espero sus sugerencias..

Gracias

cesarpunk · #2 (**permalink**) 05/02/2009, 12:05

Pues yo ejecuto mis procedimientos almacenado con clases.... pero aun asi yo uso sentencias sql como parametro osea: $clase->ejecutarProc($sql);

Pero en la misma sentencia sql siempre pongo el : mysql_real_escape_string($id) en caso pongo una variable por ahi... pero no se si sera completamente segura... saludos

GatorV · #3 (**permalink**) 05/02/2009, 12:18

Las stored procedures no te brindan más seguridad, ni nada, es cuando requieres hacer un procedimiento que requiere más consultas.

Lo mejor para mantener un control es usar prepared statements así puedes filtrar el dato de cada variable, si usas PHP5, puedes usar PDO.

Saludos

dadabit · #4 (**permalink**) 05/02/2009, 12:39

ok.
Has resuelto mis dudas y he tomado una desición...
Gracias Gracias

cesarpunk · #5 (**permalink**) 05/02/2009, 14:42

he leido sobre los prepared statements y me parece una solucion realmente sencilla, creo que la comenzare a aplicar, gracias por el dato ...