elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web
| | |-+  PHP (Moderador: #!drvy)
| | | |-+  inyeccion SQL y como evitarla....		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] Ir Abajo Respuesta Imprimir
Autor Tema: inyeccion SQL y como evitarla....  (Leído 6,927 veces)
Zomtrixbiesroot

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Re: inyeccion SQL y como evitarla....
« Respuesta #10 en: 22 Febrero 2012, 12:01 pm »
Pero esta bien usada como muestra mi ejemplo o cuando es recomendable usarla?

Código
  1. 		$sql = "insert into noticias values 
  2. 		(
  3. 			null,
  4. 			'".$_POST["titulo"]."',
  5. 			'".$_POST["nota"]."',
  6. 			'".$_POST["code"]."',
  7. 			now(),
  8. 			now(),
  9. 			'".$_POST["cate"]."'
  10. 		)";

Acá por ejemplo en una conexión?

Abrazo
En línea
Tyrz


Desconectado Desconectado

Mensajes: 927


Get big or die tryin'


Ver Perfil WWW
Re: inyeccion SQL y como evitarla....
« Respuesta #11 en: 22 Febrero 2012, 13:16 pm »
si pasas el enlace de tu web no me importaría echar un vistazo a ver que encuentro
En línea
Web dedicada por completo al surf. Hablamos de tablas de surf, videos de surf, fotos, juegos y mucha información sobre como aprender a surfear, spots famosos como mundaka, pipeline y zonas como vizcaya, surf españa, sopelana y mucho más. Trucos y peligros del surf. A que esperas? Entra en  Surf
nobo

Desconectado Desconectado

Mensajes: 74


Ver Perfil
Re: inyeccion SQL y como evitarla....
« Respuesta #12 en: 22 Febrero 2012, 13:39 pm »
ok! De momento esta qui:

www.elzulo.site90.net

No esta con ningun script para filtrar ni nada ;) Prueba a ver y me dices ^^
En línea
#!drvy
Moderador
***
Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: inyeccion SQL y como evitarla....
« Respuesta #13 en: 22 Febrero 2012, 14:42 pm »
Cita de: Zomtrixbiesroot en 22 Febrero 2012, 02:51 am
Amig@s perdón que me meta en el tema pero estoy metiéndome en la POO y de paso en la seguridad en php :D

entonces leyendo el tema me intereso saber que hace mysql_real_escape.

yo tengo esta consulta:

$sql = "select * from noticias where id_noticia=".mysql_real_escape_string($_GET['id']);

Ahi que estaria evitando?

Cuando es recomendable usar dicha función y que hace?

Citar
Escapa caracteres especiales en la cadena no escapada, teniendo en cuenta el conjunto de caracteres actual de la conexión para que sea seguro usarla en mysql_query(). Si se van a insertar datos binarios, esta función debe ser usada.

mysql_real_escape_string() llama la función de la libreria de MySQL mysql_real_escape_string, la cual antepone backslashes a los siguientes caracteres: \x00, \n, \r, \, ', " y \x1a.

Esta función siempre debe (con pocas excepciones) ser usada para hacer los datos seguros, antes de enviar una consulta a MySQL.
http://php.net/manual/es/function.mysql-real-escape-string.php

Si es un id (numero), Puedes usar la función (int) que convierte cualquier cosa a entero.

Saludos
En línea
Páginas: 1 [2] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Como seguir Con la inyeccion SQL
Nivel Web 		MagnoBalt 3 4,075 Último mensaje 26 Agosto 2008, 23:42 pm
por MagnoBalt
Inyeccion sql (mysql) Pasa x alto la inyeccion
Nivel Web 		Littl3 3 6,560 Último mensaje 5 Marzo 2009, 22:56 pm
por pedrox@
como evitar la inyeccion sql
Nivel Web 		CICOLO_111234 2 10,751 Último mensaje 20 Abril 2009, 01:02 am
por WHK
Infección, cómo evitarla?
Seguridad 		adgellida 2 3,678 Último mensaje 29 Abril 2010, 15:53 pm
por skapunky
¿cómo evitar inyección sql en php? « 1 2 »
PHP 		kinos 10 13,973 Último mensaje 11 Octubre 2010, 23:27 pm
por el-brujo
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines