Tecnologia y Redes
Synapex - Consultoria y Soluciones Tecnologicas
GNUTransfer GPL WebHosting

Regresar   Foros Tecnología&Redes > Discusiones > Programación y Desarrollo
Recargar página PHP Prevenir MySQL y HTML Injection en PHP
Registrarse Glosario Invita a tus Amigos Lista de usuarios Calendario Herramientas Buscar Posts de hoy Marcar foros como leído

Programación y Desarrollo Charlas, debates e información relacionada con esta temática.

Responder
 
Herramientas
Anterior 24-Apr-2009   #1
Alehawk
Chamuyo Senior
Participante
Admin
 
Avatar de Alehawk
 
Registrado: December-2008
Ubicación: Argentina
Posts: 129
Agradecimientos: 12
Agradecido 2 veces en 2 Posts
Reputación: 10
Alehawk Por el buen camino
Actividad Longevidad
0/20 19/20
Hoy Posts
ssssss129
PHP Prevenir MySQL y HTML Injection en PHP
Arme una pequeña función, obviamente cualquier programador que viene hace tiempo programando en PHP lo conoce pero para aquellos nuevos que recien comienzan esta funcion que les pongo aca previene, al momento de insertar un registro en el MySQL, la inyeción de HTML como asi el conociso SQL Injection.
Código PHP:
function insertseguro($valor){
    return htmlspecialchars(mysql_real_escape_string($valor));
Se puede usar:
Código PHP:
$sql="INSERT INTO mitabla (mivalor) VALUES ('".insertseguro($variableainsertar)."')"
Espero les sirva.
__________________
Un abrazo

Mis Webs
AstroDestino - Astrología Gratis para Todos
TodoWebmasters.com.ar - Recursos para Webmasters
ChamuyAle - Web de Opinión
Mi Cocina, Mis Recetas: Sitio para amantes de la cocina. Compartir y descargar recetas de cocina.
FilosofAle - Filosofemos un Rato (Publicaciones Bienvenidas así que si te gusta filosofar tenes donde escribir)
Alehawk está desconectado   Citar y responder
Anterior 24-Apr-2009   #2
mariano
Administrador
Asiduo
Owner
 
Avatar de mariano
 
Registrado: October-2008
Ubicación: Argentina
Edad: 39
Posts: 348
Agradecimientos: 3
Agradecido 17 veces en 17 Posts
Reputación: 10
mariano Camino a la fama
Actividad Longevidad
3/20 20/20
Hoy Posts
ssssss348
Predeterminado
Aporto algo mas:
htmlspecialchars

Convierte caracteres especiales a entidades HTML
Código PHP:
string htmlspecialchars string cadena
Ciertos caracteres tienen significados especiales en HTML, y deben ser representados por entidades HTML si se desea preservar su significado. Esta función devuelve una cadena con dichas conversiones realizadas.

Esta función es útil para evitar que el texo entrado por el usuario contenga marcas HTML, como ocurre en aplicaciones de foros o libros de visita.

Actualmente, las traducciones hechas son:

'&' (ampersand) se convierte en '&'
'"' (doble comilla) se convierte en '"'
'<' (menor que) se convierte en '&lt;'
'>' (mayor que) se convierte en '&gt;'

Nótese que esta función no traduce nada más que lo mostrado más arriba.

htmlentities
Código PHP:
string htmlentities string $string [, int $quote_style [, string $charset ]] ) 
Esta función es identica en todo a htmlspecialchars(), excepto que con htmlentities(), todos los caracteres que tengan una entidad equivalente en HTML serán cambiados a esas entidades.

En htmlspecialchars(), el parámetro opcional quote_style le permite definir lo que será hecho con las comillas 'sencillas' y las "dobles". Toma uno de tres constantes con ENT_COMPAT

Constantes disponibles para quote_style:
ENT_COMPAT Convertirá las dobles comillas y dejará solo las comillas sencillas.
ENT_QUOTES Convertirá las comillas dobles y sencillas.
ENT_NOQUOTES Mantendrá las comillas dobles y sencillas sin cambios.



Cualquier otro juego de caracteres no es reconocido y en su lugar se utilizará ISO-8859-1.


mysql_real_escape_string

Escapa caracteres especiales de una cadena para su uso en una sentencia SQL

Código PHP:
string mysql_real_escape_string string $cadena_no_escapada [, resource $id_enlace ] ) 


Escapa todos los caracteres especiales en la cadena_no_escapada , tomando en cuenta el juego de caracteres actual de la conexión, de tal modo que sea seguro usarla con mysql_query(). Si se van a insertar datos binarios, debe usarse esta función.

mysql_real_escape_string() llama a la función de la biblioteca MySQL mysql_real_escape_string, la cual coloca barras invertidas antes de los siguientes caracteres: \x00, \n, \r, \, ', " y \x1a.

Esta función debe usarse siempre (con algunas excepciones) para garantizar que los datos sean seguros antes de enviar una consulta a MySQL

Devuelve la cadena escapada, o FALSE en caso de que ocurra un error.
__________________
"…y sobre todo, sean siempre capaces de sentir en lo más hondo cualquier injusticia cometida contra cualquiera en cualquier parte del mundo."...El Che
___________

Telecentro...El peor ISP del mundo. Pero no el unico malo.
mariano está desconectado   Citar y responder
Responder

Etiquetas
html, injection, mysql, php, prevenir

« Discusión anterior | Siguiente discusión »

Personas en esta discusión: 1 (0 usuario(s) y 1 invitado(s))
 
Herramientas

Reglas del foro
No puedes publicar nuevas discusiones
No puedes responder a discusiones
No puedes publicar archivos adjuntos
No puedes editar tus posts
BB code is activado
Emotíconos está activado
El código [IMG] está activado
El código HTML está desactivado
Ir a

Discusiones similares
Discusión Autor de la discusión Foro Respuestas Último post
.NET Como Conectarse a MySQL Utilizando ADODB en .NET Alehawk Programación y Desarrollo 0 11-Mar-2009 04:26 PM


Todas las horas son GMT -3. La hora es 08:54 PM.

Contáctanos - Tecnología&Redes - Sitemap - Ir arriba

Forum SEO by Zoints
Tecnologia&Redes