- Desde
- 25 Abr 2009
- Mensajes
- 188
Para poder evitar una inyección SQL desde MySQL necesitas tener un par de cosas en claro, no es nada del otro mundo.
Para comenzar en una query donde ingresamos valores de tipo string siempre se deben ingresar encerradas en comillas simples y los valores numéricos con (int) de la siguiente forma:
Valores Integers
Fijense que antepuse (int), de esta forma si la variable es numérica la dejará pasar, en caso contrario el valor cerá cero.
Valores String
De todas formas hay que recordar que si queremos procesar una variable con magic quotes activado es recomendable filtrarlas con stripslashses como en este ejemplo:
Eso es todo, no necesitan filtros especiales que borren comillas (es inutil), IDS, expresiones regulares, etc etc etc, es tan simple como utilizar comillas simples para encerrar strings mas mysql_real_escape_string() y si es numérico utilizar (int), eso es todo y cuidarse de los errores que muchos cometen al no darle un limit a sus busquedas de datos dentro de la base de datos ya que si la query contiene %dato% como comodín cualquier atacante podría solicitar un "%" quedando en "%%%" forzando a MySQL que devuelva todos los datos que se encuentren en la base de datos y cuando no tiene limite puede causar que tu servidor colapse o que el script en php almacene demasiada información en sus variables y no pueda ser ejecutado correctamente devido al límite de memoria establecido por script en el archivo de configuraciones de php (php.ini).
Gracias amigo whk
Para comenzar en una query donde ingresamos valores de tipo string siempre se deben ingresar encerradas en comillas simples y los valores numéricos con (int) de la siguiente forma:
Valores Integers
PHP:
<?php
if(!$_GET['id'])
$_GET['id'] = '1'; // Da el valor por defecto
$resultado = mysql_query('
SELECT *
FROM noticias
WHERE ID = \''.(int)$_GET['id'].'\'
', $handle);
.........
?>Valores String
PHP:
if($_GET['buscar']){
mysql_query('
SELECT *
FROM datos
WHERE palabra LIKE \'%'.mysql_real_escape_string($_GET['buscar'].'%\'
LIMIT 0, 30
', $handle);
....
}De todas formas hay que recordar que si queremos procesar una variable con magic quotes activado es recomendable filtrarlas con stripslashses como en este ejemplo:
PHP:
<?php
$_GET = stripslashses_gpc($_GET);
$_POST = stripslashses_gpc($_POST);
$_COOKIE = stripslashses_gpc($_COOKIE);
$_SERVER = stripslashses_gpc($_SERVER);
function stripslashses_gpc($buffer){
if(!function_exists('get_magic_quotes_gpc'))
return $buffer;
if(get_magic_quotes_gpc()){
if(is_array($buffer)){
foreach($buffer as $variable => $valor){
$temp[$variable] = stripslashses_gpc($valor);
}
return $temp;
}else{
return stripslashes($buffer);
}
}else{
return $buffer;
}
}
?>Eso es todo, no necesitan filtros especiales que borren comillas (es inutil), IDS, expresiones regulares, etc etc etc, es tan simple como utilizar comillas simples para encerrar strings mas mysql_real_escape_string() y si es numérico utilizar (int), eso es todo y cuidarse de los errores que muchos cometen al no darle un limit a sus busquedas de datos dentro de la base de datos ya que si la query contiene %dato% como comodín cualquier atacante podría solicitar un "%" quedando en "%%%" forzando a MySQL que devuelva todos los datos que se encuentren en la base de datos y cuando no tiene limite puede causar que tu servidor colapse o que el script en php almacene demasiada información en sus variables y no pueda ser ejecutado correctamente devido al límite de memoria establecido por script en el archivo de configuraciones de php (php.ini).
Gracias amigo whk
