elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía rápida para descarga de herramientas gratuitas de seguridad y desinfección


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web
| | |-+  PHP (Moderador: #!drvy)
| | | |-+  ¿Sería una buena forma de evitar SQLi?		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: ¿Sería una buena forma de evitar SQLi?  (Leído 2,317 veces)
javirk

Desconectado Desconectado

Mensajes: 102


Ver Perfil
¿Sería una buena forma de evitar SQLi?
« en: 11 Febrero 2012, 12:03 pm »
Hola, pues eso, que se me ha ocurrido una forma de evitar el SQLi, puede ser una ***** que no sirve para nada, pero no sé, a lo mejor es factible, a ver lo que pensáis...
Código
  1. <?php
  2. $entra = $_GET['entra];
  3. $malo = "'"; //Esta es la comilla que no nos gusta
  4. if(strpos($entra, $malo)==false){
  5. //No lo contiene, se puede continuar...
  6. }else{
  7. //lo contiene
  8. echo "No hay que poner comillas en la barra de arriba...";
  9. }
  10. ?>
  11.  
  12.  
  13.  
¿Sería esto factible? ¿Podría funcionar? No lo he probado.

Un saludo
En línea
‭lipman


Desconectado Desconectado

Mensajes: 3.062



Ver Perfil WWW
Re: ¿Sería una buena forma de evitar SQLi?
« Respuesta #1 en: 11 Febrero 2012, 12:30 pm »
No estoy totalmente seguro, pero hay más formas de meter comillas que esa, al menos en otros sistemas, por eso no sé si en SQL también se podrá, yo creo que si, que dependerá de la codificación o algo.

El caso es que puedes hacer alusión a los caracteres de la siguiente forma \uXXXX siendo X un número, y claro, eso simboliza un caracter. Por lo que puedes simbolizar una comilla, y luego el sistema la reconocerá. Lo que yo no sé seguro es si reconoce la comilla o reconoce el \uXXXX

De todas formas, también tengo constancia de que existe en SQL la función CHR, y puedes hacer lo mismo que he dicho. No hará falta que la explique puesto que si conoces PHP, en este lenguaje también la tenemos.

Un saludo!
En línea
Twitter: jmlipman

http://delanover.com
BlackZeroX
Wiki

Desconectado Desconectado

Mensajes: 3.158


I'Love...!¡.


Ver Perfil WWW
Re: ¿Sería una buena forma de evitar SQLi?
« Respuesta #2 en: 11 Febrero 2012, 12:57 pm »
prueba esto:

http://foro.elhacker.net/php/problema_cuando_mysqlrealescapestring_guarda_las_comillas-t351704.0.html;msg1711928#msg1711928

En el hilo hay mas formas seguramente pero te pongo directamente a mi post debido a que es la que me funciona de manera segura y es la que uso actualmente.

Dulces Lunas!¡.
En línea
The Dark Shadow is my passion.
el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.588


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: ¿Sería una buena forma de evitar SQLi?
« Respuesta #3 en: 13 Febrero 2012, 19:04 pm »
¿cómo evitar inyección sql en php?
http://foro.elhacker.net/php/iquestcomo_evitar_inyeccion_sql_en_php-t307274.0.html
« Última modificación: 10 Abril 2013, 16:35 pm por el-brujo » En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
En este caso cual sería la mejor forma de saber qué uso se hace de un ordenador?
Hacking 		oisac 3 4,090 Último mensaje 18 Enero 2011, 20:17 pm
por Garfield07
Evitar LFI de forma fácil
PHP 		WHK 1 2,965 Último mensaje 20 Julio 2011, 16:30 pm
por cassiani
Colabora de forma gratuita con una buena causa.
Foro Libre 		MA40 0 1,693 Último mensaje 13 Octubre 2012, 14:02 pm
por MA40
Cual seria la mejor forma para evitar ser rastreado por facebook
Seguridad 		Mister12 8 8,146 Último mensaje 23 Marzo 2013, 21:20 pm
por Mister12
Esta máquina de cortar el pelo sería una buena compra?
Foro Libre 		Terminator5 7 4,627 Último mensaje 12 Junio 2022, 01:40 am
por Hason
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines