Foro de elhacker.net

Simple mi pregunta:
Basta con, al momento de hacer una consulta a la bbdd, encerrar el valor a buscar/insertar con comillas y escapar las mismas en el contenido? Un simple simple ejemplo para dejarlo mas claro:

$toQuery='pass \' OR \'1\'=\'1';
mysql_query("SELECT * FROM user_tables WHERE user='admin' AND pass=' ".htmlspecialchars($toQuery, ENT_QUOTES);." ' ");

Hay forma de escapar la consulta para inyectar codigo? Qué diferencia hay entre htmlspecialchars() y htmlentities()? Qué caracteres escapa mysql_real_escape_string(), únicamente las comillas o algo mas?

Lo que se intenta en SQLI es manipular la consulta SQL.

Debes encerrar el valor entre comillas y escapar los caracteres especiales del contenido, de forma que no se pueda manipular la consulta. Osea si encierra el valor entre comillas, la única forma de manipular la consulta seria salir de la consulta actual y luego ingresar tu consulta SQL, pero en este caso para salir es necesario utilizar una comilla pero la comilla se escapa para que no se pueda manipular la consulta.

Muchas personas cometen este error:

<?php
 
$id = mysql_real_escape_string($_GET['id']);
 
mysql_query("SELECT titulo, autor, contenido FROM noticias WHERE id = ".$id);
 
?>

Con un espacio puedes salir de la consulta actual y insertar otra consulta SQL. Ya que mysql_real_escape_string(), no escapa el espacio.

Caracteres que escapa mysql_real_escape_string

---

htmlspecialchars()

htmlentities()

---

Saludos.

Voy bien entonces! Gracias yoya, ya entiendo un poco más!