Evitar inyecciones SQL a traves de la URL

tonydx16 · #1 (**permalink**) 21/12/2011, 10:21

Dos dudas:

1. ¿Las inyecciones SQL por URL puede modificar una tabla o base de datos, o sólo muestra los registros pedidos por la URL en la página? (tengo entendido que a través de un formulario si se puede borrar tablas, etc.)

2. Tengo entendido que una url más o menos así es propensa a recibir inyecciones SQL:

http://...../?id=58

Código PHP:

Ver originalSELECT * FROM ejemplo WHERE id=''.$_GET['id'].''

...pero si al hacer la consulta sql hago una condicional, cosa que si no encuentra el id (no existe) lo redirija a la portada, en este caso las inyecciones por URL son 100% seguras..?...muchas gracias

tonydx16 · #2 (**permalink**) 21/12/2011, 13:29

alguna respuesta?

gnzsoloyo · #3 (**permalink**) 21/12/2011, 13:51

Lo único más o menos seguro, más allá de lo que se puede hacer en el lenguaje de programación, es usar stored procedures para ejecutar las consultas a la base.
Esto es porque al ser parametrizables, y siendo los parámetros de MySQL no flexibles ni dinámicos, cualquier valor que no sea exactamente lo esperado genera un error de ejecución y terminación del proceso.
En ese sentido, lso SP son invulnerables al sql-injection.
Todo el resto de las opciones se maneja en lenguajes de programación, por lo que te aconsejaría consultar en los foros correspondientes, ya que allí están los expertos en ese tema.