Título: Prevención de SQLi Publicado por: Castg! en 21 Febrero 2011, 06:19 am Simple mi pregunta:
Basta con, al momento de hacer una consulta a la bbdd, encerrar el valor a buscar/insertar con comillas y escapar las mismas en el contenido? Un simple simple ejemplo para dejarlo mas claro: Código
Hay forma de escapar la consulta para inyectar codigo? Qué diferencia hay entre htmlspecialchars() y htmlentities()? Qué caracteres escapa mysql_real_escape_string(), únicamente las comillas o algo mas? Título: Re: Prevención de SQLi Publicado por: ~ Yoya ~ en 21 Febrero 2011, 23:31 pm Lo que se intenta en SQLI es manipular la consulta SQL.
Debes encerrar el valor entre comillas y escapar los caracteres especiales del contenido, de forma que no se pueda manipular la consulta. Osea si encierra el valor entre comillas, la única forma de manipular la consulta seria salir de la consulta actual y luego ingresar tu consulta SQL, pero en este caso para salir es necesario utilizar una comilla pero la comilla se escapa para que no se pueda manipular la consulta. Muchas personas cometen este error: Código
Con un espacio puedes salir de la consulta actual y insertar otra consulta SQL. Ya que mysql_real_escape_string(), no escapa el espacio. Caracteres que escapa mysql_real_escape_string Cita de: php.net mysql_real_escape_string() llama la función de la libreria de MySQL mysql_real_escape_string, la cual antepone backslashes a los siguientes caracteres: \x00, \n, \r, \, ', " y \x1a. htmlspecialchars() Citar Ciertos caracteres tienen significados especiales en HTML, y deben ser representados por entidades HTML si se desea preservar su significado. Esta función devuelve una cadena con dichas conversiones realizadas, que por defecto son las mas habituales para la programación web. Si se requiere traducir todas las entidades HTML, se debe emplear la función htmlentities(). htmlentities() Citar Esta función es identica en todo a htmlspecialchars(), excepto que con htmlentities(), todos los caracteres que tengan una entidad equivalente en HTML serán cambiados a esas entidades. Saludos. Título: Re: Prevención de SQLi Publicado por: Castg! en 22 Febrero 2011, 00:14 am Voy bien entonces! Gracias yoya, ya entiendo un poco más!
|