Alguna función o clase, para evitar hackeos? injection sql, xss, etc.

WWWW · 18 Ene 2017

Hola btas.

Conocen alguna función o clase que limpie los datos, y vuelva seguros nuestros sistemas ?

Por ejemplo alguna manera de limpiar todas las variables POST y de sesión, desde una función si las variables fueran demasiadas (+200)?

Gracias. :encouragement:

jsstoni · 19 Ene 2017

htmlspecialchars ayuda evitar tantos problemas.

Cicklow · 19 Ene 2017

Yo he usado https://github.com/hungdinhvan/dezhub/blob/master/config/security.php :encouragement:

PHP:

	include('clase.php');
	$SEC = new secure();
	$SEC->secureGlobals();

	//Agregado mio!
	if($_GET){
		foreach($_GET as $K=>$G){
			if(!isset($$K)) $$K = $G;
		}
	}

	if($_POST){
		foreach($_POST as $K=>$G){
			if(!isset($$K)) $$K = $G;
		}
	}

Aledky91 · 19 Ene 2017

Yo suelo utilizar expresiones regulares y la función addslashes para comprobar todo lo que entra desde post o get

WWWW · 19 Ene 2017

jsstoni dijo:
htmlspecialchars ayuda evitar tantos problemas.

Si esa función es esencial, para esto.

Deberías de ver la clase que a publicado cicklow ahí esta implementada.

cicklow dijo:
Yo he usado https://github.com/hungdinhvan/dezhub/blob/master/config/security.php :encouragement:

Siempre ayudando, gracias por el aporte!

Existen infinidad de funciones o clases, pero no existe un estándar.

Pero la clase que has pasado, tiene los principales filtros.

htmlspecialchars
Remplazar la palabras 'script'
mysql_real_escape_string

Este ultimo tendría que ser cambiado a mysqli_real_escape_string o me equivoco ?

Aledky91 dijo:
Yo suelo utilizar expresiones regulares y la función addslashes para comprobar todo lo que entra desde post o get

Si también solía o suelo aun, usar expresiones regulares (Aun que nunca me quedan como quiero a la primera)

Tenia una función que limitaba strings a solo ciertos caracteres, de una cadena que se le pasara, pero bueno se me era algo tedioso para cada dato con posibles diferentes caracteres.

addslashes es similar a mysqli_real_escape_string, pero para estos casos es mejor la segunda: mysqli_real_escape_string

Por cierto tambien creo que te funciona el aporte de cicklow

Gracias por sus respuestas. :encouragement:

Alguna función o clase, para evitar hackeos? injection sql, xss, etc.

WWWW

jsstoni

Cicklow

Aledky91

WWWW

Temas similares