SQL Injection Ayuda

Strings · #1 (**permalink**) 10/09/2013, 15:17

¿Que es preferible utilizar?

Código PHP:

Ver original$resultado = $conectar->prepare("SELECT user FROM user WHERE user = :username AND pass :password");
$resultado->execute(array(':username' => $_POST['username'], ':password' => $_POST['password']));

Código PHP:

Ver original$conectar->prepare("SELECT user FROM user WHERE user = ".$conectar->quote($username)." AND pass = ".$conectar->quote($password)."");

Muchas gracias

#2 (**permalink**) 10/09/2013, 15:21

QUOTE

Cita:

Si se usa esta función para construir sentencias SQL, se recomienda encarecidamente usar PDO::prepare() para preparar sentencias SQL con los parámetros vinculados en vez de usar PDO::quote() para interpolar entradas del usuario en una consulta SQL. Las sentencias preparadas con parámetros vinculados no son sólo más portables, más convenientes, e inmunes a inyecciones SQL, sino que son mucho más rápidas de ejecutar que las consultas interpoladas, ya que tanto el lado del servidor como el del cliente pueden almacenar en caché una forma compilada de la consulta.

http://www.php.net/manual/es/pdo.quote.php

http://www.php.net/manual/es/pdo.pre...statements.php

Strings · #3 (**permalink**) 10/09/2013, 15:23

Claro, eso para prepare() pero si utilizo query() ya no puedo utilizar $resultado->execute(array(':username' => $_POST['username'], ':password' => $_POST['password']));

Gracias por tu ayuda, ya lo lei, pero mi duda es mas esta que la otra.

#4 (**permalink**) 10/09/2013, 15:24

me parece que no leiste bien , tu duda es SQL Injection Ayuda en la cita puedes leer

Cita:

Las sentencias preparadas con parámetros vinculados no son sólo más portables, más convenientes, e inmunes a inyecciones SQL

ya lo leiste en serio los manuales ? por que en la pagina de PDO:QUOTES dice:

Cita:

PDO::quote() entrecomilla el string de entrada (si fuera necesario) y escapa los caracteres especiales contenidos en dicho string, usando un estilo de entrecomillado apropiado para el controlador subyacente.

Si se usa esta función para construir sentencias SQL, se recomienda encarecidamente usar PDO::prepare() para preparar sentencias SQL con los parámetros vinculados en vez de usar PDO::quote() para interpolar entradas del usuario en una consulta SQL.

Te quedo claro?,creo que la ultima cita resuleve tu duda de que es preferible utilizar ¿verdad?

Strings · #5 (**permalink**) 10/09/2013, 15:32

Sisi, pero yo digo si utilizo query() en vez de prepare() utilizaria quote()?

#6 (**permalink**) 10/09/2013, 15:33

si , si fuera necesario tal como se dice ya que no las estas preparando , pero vamos queda claro que php recomienda encarecidamente que antes de hacer tal cosa , prepares la consulta y vincules los datos antes de usar quote

xSkArx · #7 (**permalink**) 10/09/2013, 15:39

Podrias leerte el manual, http://php.net/manual/es/pdostatement.execute.php y http://www.php.net/manual/es/pdostatement.bindparam.php

Strings · #8 (**permalink**) 10/09/2013, 15:40

Me quedo claro, que utilize $resultado->execute(array(':username' => $_POST['username'], ':password' => $_POST['password']));

Aunque yo decia si utilizace query(), pero utilizare prepare();

Gracias por tu ayuda

Strings · #9 (**permalink**) 10/09/2013, 15:50

Cita:

Iniciado por SkAr88

Podrias leerte el manual, [url]http://php.net/manual/es/pdostatement.execute.php[/url] y [url]http://www.php.net/manual/es/pdostatement.bindparam.php[/url]

Es preferible utilizar execute() que bindParam() para filtrar las variables

#10 (**permalink**) 10/09/2013, 15:52

leete el manual en serio ay estan tus respuestas

Strings · #11 (**permalink**) 10/09/2013, 15:55

Pero, si yo ahora no he preguntado nada, yo ya habia cerrado el tema

#12 (**permalink**) 10/09/2013, 16:00

creia que preguntabas si execute es preferible que bindparam no que lo afirmaras , sorry entendi mal . saludos

xSkArx · #13 (**permalink**) 10/09/2013, 16:29

No he usadi pdo pero leyendo, yo usaria bindparam en vez de pasar los parametro en un array

Strings · #14 (**permalink**) 10/09/2013, 16:40

Creo que es igual, solo que bindparam se ejecuta dentro de execute();

loncho_rojas · #15 (**permalink**) 11/09/2013, 07:01

Bueno, está demás decirte que leas el manual.. ya te lo han dicho como 8 veces... Tienes que experimentar amigo, imprimir resultados, imprmir querys así sabrás cómo se comporta..

PREPARE te prepara el arreglo, por así decirlo.. y requiere de EXECUTE para ejecutar la sentencia SQL

QUERY te ejecuta directamente la sentencia SQL, sin filtrar comillas ni nada parecido, no requiere de EXECUTE...

SI ya existe el PREPARE, para qué insistir con QUERY... a menos que lo que necesites sea usar query directamente..

Y deberías explicar qué quieres lograr así no andamos dando tantas vueltas... por más cerrado que esté el tema, y no está marcado como SOLUCIONADO, siempre preguntas cosas muy al aire, tipo:

-"La gota es peligrosa?" QUE VAMOS A SABER NOSOTROS.. sería distintos.. "Hola, mi auto tiene una perdida de aceite en el carter, es peligroso el líquido que sale de ahi?"

Ves la diferencia?

Strings · #16 (**permalink**) 11/09/2013, 07:42

Si, yo ya tenia todas las dudas solucionadas