Dec

Evitando SQL injection

Despues de un poco de duda y confusión :-S (Bueno, ni tanto) entre mis conocimientos, aquí les tengo una función para filtrar las cadenas antes de utilizarlas directamente en consultas SQL

php:

function sql_quote($value){

        if(get_magic_quotes_gpc())

        $value = stripslashes($value);

        //check if this function exists 

        if(function_exists("mysql_real_escape_string"))

                $value = mysql_real_escape_string( $value );

            else//for PHP version < 4.3.0 use addslashes 

                $value = addslashes( $value );

        return $value;

    }

Para utilizarla, solo hay que aplicarle a la cadena a filtrar la función y listo.

php:

$password = sql_quote($_POST['password']);

$query = mysql_query("SELECT * FROM usuarios WHERE usuario='admin' AND password='$password');

This entry was written by Victor De la Rocha and posted on December 10, 2006 at 8:08 pm and filed under general. Bookmark the permalink. Follow any comments here with the RSS feed for this post. Post a comment or leave a trackback: Trackback URL.

2 Comments

Make A Comment

Mis Algoritmos » Blog Archive » Gestión de Errores en PHP Said:
March 9th, 2007 at 10:59 am
[...] esa horrible costumbre de chatear casi todo el día y cambiarla por programar alguna tontería (Re-Inventar la rueda obviamente puff! [...]
» Evitar Inyección SQL (II) | Solo Código | Said:
September 6th, 2007 at 3:00 pm
[...] get_magic_quotes_gpc(), que se utiliza también para el filtrado de comillas. Según propone Mis-Algoritmos aquí teneis una función para filtrar una cadena antes de emplearle en la consulta contra la base [...]

Comments RSS Feed TrackBack URL

Mis Algoritmos

Documentacion

Problemas solucionados

Sitios recomendados

Evitando SQL injection

2 Comments

Leave a comment

About Me

Recent Posts

My Flickr