|
|
|
Secciones
Este hilo ha sido archivado.
No pueden publicarse nuevos comentarios.
[Pregunta] Intento de SQL Injection, ¿estoy seguro?
|
Log in/Crear cuenta
| Top
| 21 comentarios
| Buscar hilo
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.
Obrar mucho, y hablar poco; que lo demás es de loco.
Barrapunto © 1999-2007. Contenido disponible bajo licencia Creative Commons Reconocimiento 2.5
Aviso legal
Barrapunto © 1999-2007. Contenido disponible bajo licencia Creative Commons Reconocimiento 2.5
Aviso legal
Pólvora mojada
(Puntos:3, Informativo)( http://press.asqueados.net/ | Última bitácora: Jueves, 06 Marzo de 2014, 11:47h )
En este caso, no creo que haya penetrado en nada. Entonces, lo que hay que hacer es siempre, siempre, siempre, antes de construir una sentencia, pasar los datos introducidos por el usuario por mysql-real-escape-string (mysql-real-string es considerada obsoleta).
Y ojo con las comparaciones LIKE, que no son protegidas por mysql-real-escape-string, por lo que nada que tenga que ver con seguridad, autenticación o algo crucial debe usar ese comparador.
Más info:
http://es.php.net/manual/en/function.mysql-real-e
Asqueados [asqueados.net]: mas politica, informatica y payasadas que nunca
Re:Pólvora mojada
(Puntos:1)( http://chav.es/ | Última bitácora: Viernes, 29 Junio de 2012, 11:02h )
Si los colegas de Zend dicen, en la documentación que "Hay que usar siempre esta función antes de mandar una query a Mysql"... ¿Por qué no cogen, y modifican la función "mysql_query" para que, interna y transparentemente, haga esto?
Es que leer cómo escribías que "mysql_escape_string" no valía, que hay que usar "mysql_REAL_escape_string" me ha parecido casi un chiste, ñapa sobre ñapa...
¿Por qué no haces que tu función de lanzar queries sea segura, en vez de crear otra función, molestarte en escribir y mantener la documentación, decir que hay que usarla "siempre" y tal? métela por defecto, leches...