Hola, quería saber si era suficiente con AddSlashes() para evitar la Inyección SQL.
Muchas gracias.
| ||||
Re: Es suficiente con AddSlashes() para evitar la inyección SQL? Yo creo que es mejor detectar si magic_quotes está activo y usar mysql_real_escape_string. |
| |||
Re: Es suficiente con AddSlashes() para evitar la inyección SQL? yo creo que si que es suficiente. |
| |||
Re: Es suficiente con AddSlashes() para evitar la inyección SQL? Las funciones que te han dado te ofrecen más o menos protección. Mira esta función. Es una combinacion de todo lo que te dicen ahi arriba, lo que la hace en cierta forma más segura ![]() Código PHP: Tu consulta es: Código PHP: Un saludo, ![]() |
| ||||
Re: Es suficiente con AddSlashes() para evitar la inyección SQL? usa esta funcion para todas las variables externas $_GET $_POST $_COOKIE etc... Código PHP: Código PHP: |
| ||||
![]() NO ES SUFICIENTE..! solo elimina las comillas.... que pasa si te hacen una inyeccion parecida a esta: Código HTML: http://www.ejemplo.com/articulo.php?Idarticulo=-1/**/UNION/**/ALL/**/SELECT/**/1,2,concat(usuario,0x3a,clave),null,5,6/**/FROM/**/users/* bue.. vos decis, que importa! total las claves estan protegidas con md5... bue.. les cuento que existen paginas para saber, por ejemplo: http://www.md5search.org/ |
| |||
Respuesta: porque pasais querys por GET? Cuidado!!!! Pasar variables por GET o por POST es igual de peligroso!!!! No pienses que por pasar las variables por POST ya está todo solucionado, ni mucho menos. Un usuario inexperto no sabrá realizar peticiones POST, ya que al entrar las variables por URL desde la línea del navegador siempre serán GET. Pero un usuario con unos mínimos conocimientos en el uso de herramientas clientes HTTP (tipo curl o wget) podrá realizar peticiones POST (incluso enviar cookies o identificadores de sesión). |
| ||||
Respuesta: Es suficiente con AddSlashes() para evitar la inyección SQL? Yo... lo mismo siempre estoy igual, pero es que hace tiempo que empecé a quitarme la manía de reinventar la rueda. A) Mirar la infinidad de clases de gestión de bases de datos habidas en los prefabricados: Drupal, Wordpress, Mambo.... Normalmente están bien hechas y son abstractas, se pueden llevar a otros sistemas o adpatándolas sólo un poco. B) Lo mejor en mi opinión. Usar alguna librería sólida como las de PEAR o frameworks como Zend, entre otros. Está bien aprender... pero es que hay cosas que ya no se les puede dar más vueltas, sólo y en todo caso mejorarlas o actualizarlas. Yo creo que es mucho más sencillo bajarse un framework o una librería, usar sus componentes y punto. Que normalmente podrá ser usado con algo parecido a esto: Código PHP: Además, seguro que está mucho mejor mantenida y chequeada que cualquier código nuestro porque normalmente hay una gran comunidad alrededor. Obviamente cada cual hace lo quiere, pero vamos... creo que otra cosa es perder el tiempo. PD: En cualquier otro caso usaría la de Okram y por extensión la de Farra ;)
__________________ "La sabiduría comienza donde acaba el conocimiento". Yaris. http://www.culturadigital.org Última edición por Covids0020; 24/09/2008 a las 08:58 |
| ||||
Respuesta: Es suficiente con AddSlashes() para evitar la inyección SQL? Es como todo, tendrías que evaluar costo/beneficio... Esta función puede ser suficiente en algunos casos. En este link, te pasan 3 opciones que son mejores que simplemente usar AddSlashes. Una es usar el mecanismo de escape de caracteres de cada proveedor de base de datos, por ejemplo mysql_real_escape_string(). La otra, usar PDO. Y la última, usar una librería de terceros. http://devzone.zend.com/article/1918...-SQL-Injection Yo uso PDO y la verdad, a pesar de que no hay mucho tutorial en internet, luego que le agarras la mano, es bastante útil. Lo recomiendo como buena practica. Saludos
__________________ Pasión por la Música |
| ||||
Respuesta: Es suficiente con AddSlashes() para evitar la inyección SQL? Te dejo la url del manual PHP y un código de muestra que uso en una de mis apps. PHP: PDO
Código php:
Ver original
__________________ Pasión por la Música |