Autor
|
Tema: Esto previene inyeccion sql if(!ereg("^[a-zA-Z0-9_\.-]+$", trim($user))) ? (Leído 6,719 veces)
|
sissi
Desconectado
Mensajes: 4
|
La pregunta es por si uso en php algo como
if(!ereg("^[a-zA-Z0-9_\.-]+$", trim($user))) { no realizar query } else { realizar query (select usuario,password from usuarios where usuario='$user') }
es suficiente para impedir inyeccion sql.
De antemano gracias.
|
|
« Última modificación: 8 Abril 2011, 02:46 am por sissi »
|
En línea
|
|
|
|
Shell Root
|
int ereg ( string $pattern , string $string [, array &$regs ] )
WarningEsta función ha sido declarada OBSOLETA desde PHP 5.3.0. Su uso está totalmente desaconsejado. -- int preg_match ( string $pattern , string $subject [, array &$matches [, int $flags = 0 [, int $offset = 0 ]]] )
:http://www.php.net/manual/es/function.preg-match.php
|
|
|
En línea
|
Te vendería mi talento por poder dormir tranquilo.
|
|
|
sissi
Desconectado
Mensajes: 4
|
Ok es obsoleta pero previenen o no inyeccion sql?
if(preg_match("/^[a-zA-Z0-9_\.-]+$/", trim($user))==0) { no realizar query } else { realizar query (select usuario,password from usuarios where usuario='$user') }
|
|
« Última modificación: 8 Abril 2011, 05:57 am por sissi »
|
En línea
|
|
|
|
~ Yoya ~
Wiki
Desconectado
Mensajes: 1.125
|
Bueno, en este caso si funciona xD, ya que la forma para manipular la SQL seria insertando comillas simples y no se permiten... Te recomiendo que uses la expresiones regulares en casos especifico ya que pudieras usar otras funciones que serian mas rápido...
También te recomiendo que trates de hacer tus propios patrones, pueda que tomes uno por Internet y sea vulnerable a ReDos y se utilice bypassear el patron.
Saludos.
|
|
|
En línea
|
Mi madre me dijo que estoy destinado a ser pobre toda la vida. Engineering is the art of balancing the benefits and drawbacks of any approach.
|
|
|
sissi
Desconectado
Mensajes: 4
|
De verdad funciona entonces evitar la inyeccion sql es tan simple como esto mmm pense que habria formas mas complicadas de evadir esta proteccion bueno gracias.
|
|
|
En línea
|
|
|
|
|
sissi
Desconectado
Mensajes: 4
|
si tienes razon si deseo ingresar una comilla pues no valdria. dos preguntas mas, ¿que piensan de mod_security de apache? y .¿mysql_real_escape_string se puede usar con cualquier otro gestor de base de datos ?
gracias de antemano
|
|
|
En línea
|
|
|
|
Shell Root
|
Con PDO es mucho más fácil y sirve para cualquier motor de base de datos...
:http://www.phpbuilder.com/manual/function.pdo-quote.php
|
|
|
En línea
|
Te vendería mi talento por poder dormir tranquilo.
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Donde hacen esas barras EJ "Coke Drinker,Elhacker User ect"
Diseño Gráfico
|
LordKevin
|
3
|
2,297
|
17 Junio 2006, 23:33 pm
por + enrique ZP
|
|
|
[PRINCIPIANTE] Ayuda con user en inyeccion SQL
Nivel Web
|
GingerCat
|
1
|
2,762
|
4 Mayo 2013, 06:57 am
por Shell Root
|
|
|
No funciona un programa con "$name = trim(fgets(STDIN))"
PHP
|
Linton
|
5
|
3,406
|
27 Noviembre 2013, 08:21 am
por dRak0
|
|
|
"Trim" en los ssd
Hardware
|
Zorronde
|
2
|
1,998
|
25 Octubre 2014, 06:31 am
por Randomize
|
|
|
Ayuda con directorio "user"
Programación General
|
xavier27
|
1
|
1,814
|
8 Julio 2015, 16:20 pm
por Eleкtro
|
|