Algun peligro al enviar consulta con este valor (") a mysql ?

  • Autor Autor WWWW
  • Fecha de inicio Fecha de inicio
WWWW

WWWW

Pi
Verificación en dos pasos activada
Hola btas.

Tengo mis dudas, existe alguna vulnerabilidad, si envió una consulta o guardo este valor en mysql

HTML: 
"

Este valor son las comillas dobles ", pero lo convierto antes a " para el query mysql.

Entonces ya no tendría que utilizar mysqli_real_escape_string
HTML: 
\"
ya que se vuelve ", pero aquí la duda, se vuelve vulnerable de alguna forma?

Saludos. :encouragement:
 
Última edición:
No se si se pueden aprovechar de lo que dices, pero si no usas el mysqli_real_escape_string, se podrían aprovechar de otras formas, como añadiendo una barra al final del campo, lo que anularía el cierre de comillas en la consulta, que creo que se podría combinar con inyección en consultas que usen dos campos.

SELECT * FROM tabla WHERE campo1="algo introducido\" <-- Cierre de comillas anulado
AND campo2=";DELETE FROM tabla; --" <-- Quizás algo parecido a esto se pueda llevar a cabo. La comilla que debería abrir para campo2, ahora es la de cierre para campo1, dejandote escribir parte de la consulta.
 
NoHope dijo:
No se si se pueden aprovechar de lo que dices, pero si no usas el mysqli_real_escape_string, se podrían aprovechar de otras formas, como añadiendo una barra al final del campo, lo que anularía el cierre de comillas en la consulta, que creo que se podría combinar con inyección en consultas que usen dos campos.

SELECT * FROM tabla WHERE campo1="algo introducido\" <-- Cierre de comillas anulado
AND campo2=";DELETE FROM tabla; --" <-- Quizás algo parecido a esto se pueda llevar a cabo. La comilla que debería abrir para campo2, ahora es la de cierre para campo1, dejandote escribir parte de la consulta.
Hacer clic para expandir...


Gracias por tu ayuda.

Si creo que el valor
HTML: 
&quot;

No hace nada o rompe el código, "eso parece"

Pero creo que no importando la consulta sera obligado utilizar siempre mysqli_real_escape_string

Nuevamente gracias por tu ayuda, y bienvenido a Forobeta. :encouragement:
 
Segun estuve leyendo en el php.ini hay que activarlo cambiando el off por on. Tendrias que probar a ver si funciona. Si es asi no tendrias que usar el metodo mysqli_real_escape_string
 
Hay que estar conectado o registrado para responder aquí.
Atrás
Arriba