Normas del foro

Curso Hacker
Bienvenido(a), Visitante. Favor de ingresar o registrarse.
¿Perdiste tu email de activación? - Noviembre 23, 2008, 03:39:06
Inicio Ayuda Ingresar Registrarse
Visita: Articulos - Juegos Gratis - Da Foros

Comunidad Underground Hispana  |  Programacion  |  Programacion para webmasters  |  Php (Moderador: SaTeLuCo)  |  Tema: valdria para evitar injecciones SQL? 0 Usuarios y 1 Visitante están viendo este tema. « anterior próximo »
Páginas: [1] Ir Abajo Imprimir
Autor Tema: valdria para evitar injecciones SQL?  (Leído 251 veces)
Dreamcacher
Habitual
*****
Desconectado Desconectado

Mensajes: 182


Dreamcacher

ander_91@msn.com
Ver Perfil WWW Email
« en: Mayo 28, 2008, 04:21:28 »
Buenas, hacia tiempo que no me pasaba por este foro ya jeje... y bueno puesto que estoy reaciendo mi web, decidi revisar un poco las fuciones de php y escontre
 
Código:
htmlspecialchars();

Esta fucion lo que tengo entendidoque hace es transformar elementos como /"<... y demas en el codigo correspondiente de HTML... ahora bien , mi duda es si con este comando aplicado a una variable... que fuese una contraseña que introducen mediante un formulario, y esta funciona como contraseña, si se le aplica esto (es decir htmlspecialchars()) ¿Seria suficiente para evitaruna injeccion SQL?

pues eso

Salu2 y Gracias

___________________________________________Dreamcacher
En línea


... En este mundo existen tres tipos de personas, las que saben contar y las que no ...
[ Homer Simpson ]
[p3ll3]
Colaborador
*****
Desconectado Desconectado

Mensajes: 535


... Open your eyes , open your mind ...


Ver Perfil WWW
« Respuesta #1 en: Mayo 28, 2008, 04:42:15 »
Si mal no me recuerdo , tambien hace lo mismo :

htmlentities($_POST['variable']);

Puedes hacer una prueba local haber cual funciona mejor , de seguro algun mod te respondera mejor , de momento espero que te sirva esto.

Saludos............Cool
En línea

Necesitas ser usuario para ver los enlaces Crear Usuario  Hacer Sesion


Necesitas ser usuario para ver los enlaces Crear Usuario  Hacer Sesion
Dreamcacher
Habitual
*****
Desconectado Desconectado

Mensajes: 182


Dreamcacher

ander_91@msn.com
Ver Perfil WWW Email
« Respuesta #2 en: Mayo 28, 2008, 08:38:22 »
Era mas bien por curiosidad e visto usar el str_replace para los codigos tipo "" <> \ / % ... etc
pero era solo que pienso que el htmlspecialchars(); es una forma mas sencilla de evitar una injeccion
era para que alguien me lo confirmara

( el uso de la funcion viene explicado aqui:
Necesitas ser usuario para ver los enlaces Crear Usuario  Hacer Sesion
http://foro.el-hacker.com/index.php/topic,127656.0.html
)
En línea


... En este mundo existen tres tipos de personas, las que saben contar y las que no ...
[ Homer Simpson ]
SaTeLuCo
Moderadores
Colaborador
*****
Desconectado Desconectado

Mensajes: 635


Ver Perfil
« Respuesta #3 en: Mayo 28, 2008, 01:22:26 »
te recomiendo usar stripslashes y mysql_real_escape_string

saludos
En línea
[rOnNy]
[rOnNy]
Moderación
Gran Colaborador
*****
Desconectado Desconectado

Mensajes: 1773



Ver Perfil
« Respuesta #4 en: Mayo 28, 2008, 02:00:48 »
Cita de: SaTeLuCo en Mayo 28, 2008, 01:22:26
mysql_real_escape_string


Te recomiendo usar esa!

Saludos
En línea
<?="rOnNyLdInHo";?>
Dreamcacher
Habitual
*****
Desconectado Desconectado

Mensajes: 182


Dreamcacher

ander_91@msn.com
Ver Perfil WWW Email
« Respuesta #5 en: Mayo 29, 2008, 02:27:13 »
segun PHP.net
Código:
Descripción
string mysql_real_escape_string ( string $cadena_no_escapada [, resource $id_enlace ] )
Escapa todos los caracteres especiales en la cadena_no_escapada , tomando en cuenta el juego de caracteres actual de la conexión, de tal modo que sea seguro usarla con mysql_query(). Si se van a insertar datos binarios, debe usarse esta función.

mysql_real_escape_string() llama a la función de la biblioteca MySQL mysql_real_escape_string, la cual coloca barras invertidas antes de los siguientes caracteres: \x00, \n, \r, \, ', " y \x1a.

Esta función debe usarse siempre (con algunas excepciones) para garantizar que los datos sean seguros antes de enviar una consulta a MySQL


es bas tante interesante...
En línea


... En este mundo existen tres tipos de personas, las que saben contar y las que no ...
[ Homer Simpson ]
SaTeLuCo
Moderadores
Colaborador
*****
Desconectado Desconectado

Mensajes: 635


Ver Perfil
« Respuesta #6 en: Mayo 29, 2008, 02:59:51 »
y no solo es para mysql también para otros gestores de bases de datos
En línea
[rOnNy]
[rOnNy]
Moderación
Gran Colaborador
*****
Desconectado Desconectado

Mensajes: 1773



Ver Perfil
« Respuesta #7 en: Mayo 29, 2008, 09:11:43 »
Cita de: SaTeLuCo en Mayo 29, 2008, 02:59:51
y no solo es para mysql también para otros gestores de bases de datos

Creo que hay problemas para MS SQL, ja ja ja como siempre Cheesy
En línea
<?="rOnNyLdInHo";?>
Páginas: [1] Ir Arriba Imprimir 
Comunidad Underground Hispana  |  Programacion  |  Programacion para webmasters  |  Php (Moderador: SaTeLuCo)  |  Tema: valdria para evitar injecciones SQL? « anterior próximo »
Ir a:  


Ranking-Hits
Powered by SMF 1.1.7 | SMF © 2006-2007, Simple Machines LLC