Uso de mysql_real_escape_string();

WyLY · #1 (**permalink**) 07/07/2008, 16:43

Hace mucho tiempo que he manejado if, else, die, exit etc. para verificar que las variables que envia el usuario estén declaradas, sobre todo cuando se trata de formularios a insertar en una base de datos y ni hablar de formularios con archivos adjuntos, con esto me refiero a que si bien puedes utilziar MAX_FILE_SIZE para protgerte y muchos cosas mas cada que he visto codigos de compañeros e incluso en los aportes veo la falta de protección, ha sido discutido muchas veces algunos ejemplos seria la falta de isset($id),if empty($id), etc. para los querys de articulos, fotos, etc, ahora yo pregunto ¿Cuántos de ustedes usan mysql_real_escape_string(); para proteger dichos querys hacia sus respectivas DBS

?.

Más información en: http://www.php.net/mysql_real_escape_string

Aquí un artículo que habla acerca de como proteger toda petición a tus base de datos.
http://www.buayacorp.com/categorias/php/page/2/

Un abrazo a todos.

GatorV · #2 (**permalink**) 07/07/2008, 20:07

Hola WyLY,

Como parte de mi Framework aparte de usar mysql_real_escape_string, checo magic Quotes y ataques XSS en las cadenas de entrada para limpiar mis cadenas.

Opcionalmente llevo a usar strip_tags si no deseo HTML.

Saludos.

WyLY · #3 (**permalink**) 08/07/2008, 09:27

Muchas gracias Gator yo no utilizaba los Magic Quotes, aqui una funci'on que utilizo para limpiar;

Código PHP:

  function quitar($mensaje)

{

$mensaje = str_replace("<","&lt;",$mensaje);

$mensaje = str_replace(">","&gt;",$mensaje);

$mensaje = str_replace("\'","'",$mensaje);

$mensaje = str_replace('\"',"&quot;",$mensaje);

$mensaje = str_replace("\\\\","&#92",$mensaje);

$mensaje = strip_tags($mensaje);

$mensaje = htmlentities($mensaje);

return $mensaje;

}

 
//llamas a la funcion:

$nick = quitar($_POST['nick']);

Salu2