Título: Es esto suficiente para evitar SQL Injection? Publicado por: cybero en 30 Abril 2012, 00:30 am que opinas de este método para PHP?
consiste en comprobar si los caracteres que introducimos en los campos de formularios se encuentran todos en una lista (a-zA-Z0-9), y en caso de que algun caracter no aparezca en esa lista lanzamos el error y no ejecutamos la consulta/inserción ... Qué opinas ??? crees que esto mantendrá a salvo ? Código: function comprobar_nombre_usuario($nombre_usuario){ Título: Re: Es esto suficiente para evitar SQL Injection? Publicado por: Shout en 30 Abril 2012, 01:24 am No, lo mejor es que uses preg_match:
Código
Es el mejor modo para filtrar un nick. Ahora, si quieres evitar el SQLi, lo mejor es filtrar CADA dato que te da el usuario con mysql_real_escape_string: Código
Con eso estás protegido. =) Título: Re: Es esto suficiente para evitar SQL Injection? Publicado por: cybero en 30 Abril 2012, 01:42 am que fallos le ves a mi método ?
Título: Re: Es esto suficiente para evitar SQL Injection? Publicado por: cybero en 30 Abril 2012, 12:58 pm up
|