Ir a contenido

Foto

Función para evitar inyecciones SQl con PHP

funcion evitar inyeccion sql php

  • Please log in to reply
8 Respuesta(s) a este Tema
Metin2

#1
cristianvar

cristianvar

    Curioso

  • Miembro
  • MarcarMarcarMarcar
  • 31 Mensaje(s)
  • Skype:cristianvar4
  • Sexo:Masculino
  • Localización:Bilbao, España
Bueno, muchas veces me he topado con un monton de webs con una pequeña vulnerabilidad que permite realizar inyecciones de código SQL por medio de un formulario (ya sea el de registro, el de login u otros) o utilizando la barra de direcciones (osea, el método GET). Esto permite al atacante, acceder a la base de datos y modificar (editar, eliminar, etc) cualquier contenido que haya en ella.

Para evitar este tipo de ataques vamos a utilizar una pequeña función que sustituye todos los carácteres especiales para ejecutar sentencias SQL y, ya que estamos, también eliminamos cualquier tipo de etiqueta HTML que haya de por medio.

Vamos a ver la función:

#Edito: el código estaba mal, la función es mysql_real_escape_string(), no mysql_real_string(). Pequeño error, pero ya lo corregí.

Please Login or Register to see this Hidden Content


Para ponerlo a funcionar podríamos utilizar este ejemplo:

Please Login or Register to see this Hidden Content


O, si utlizamos el método GET, podemos usar este código:

Please Login or Register to see this Hidden Content



Todo el tema de seguridad es muy importante a la hora de crear una página web, y aún más si es para un servidor de Metin2, ya que hay mucha gente ociosa a la que le divierte fastidiar.

A los que les interese todo el tema de seguridad, pueden ver esta guía en PDF bastante útil:

Please Login or Register to see this Hidden Content





Espero que os sirva esto y si teneis alguna duda, estaré encantado de intentar ayudaros en lo que pueda.


Saludos.
  • A KeKo, fuuton97, Joakin47 y a 3 más les gusta esto

CodeSaved - Trabajando con el código


#2
TonyStark

TonyStark

    Experimentado

  • Miembro
  • MarcarMarcarMarcarMarcarMarcarMarcarMarcarMarcar
  • 367 Mensaje(s)
gracias por la guia supongo q es en la pagina web donde metes los codigos o explicate x favor

#3
Nico1Pro

Nico1Pro

    Aficionado

  • Miembro
  • MarcarMarcarMarcarMarcarMarcarMarcarMarcar
  • 198 Mensaje(s)

gracias por la guia supongo q es en la pagina web donde metes los codigos o explicate x favor



#4
cristianvar

cristianvar

    Curioso

  • Miembro
  • MarcarMarcarMarcar
  • 31 Mensaje(s)
  • Skype:cristianvar4
  • Sexo:Masculino
  • Localización:Bilbao, España

gracias por la guia supongo q es en la pagina web donde metes los codigos o explicate x favor


Sí, es en la web. No tiene ningún estilo, pero la intención es que cada uno lo personalice como quiera.

De todas formas, esta guía NO la hice para usuarios novatos, la hice para los que ya tienen algún conocimiento del lenguaje PHP.

CodeSaved - Trabajando con el código


#5
Invitado:cristianoronaldo_*

Invitado:cristianoronaldo_*
  • Invitado
Lo probare aver que tal va

#6
raptor

raptor

    Aprendiz

  • Miembro
  • MarcarMarcar
  • 10 Mensaje(s)
  • Sexo:Indefinido
Hola donde pongo el scrypt de arriva en el config ???

y el escript de abajo donde lo pongo en el index

alguien que me lo explique la funcion porfavor :D

#7
Fiti

Fiti

    Interesado

  • Miembro
  • MarcarMarcarMarcarMarcar
  • 68 Mensaje(s)
  • Skype:lfitil
  • Sexo:Masculino
  • Localización:Andalucía
Muy buen aporte. Me gustaría añadir que con esto no se soluciona 100% los problemas con la web. Hay muchos métodos mediante el cual una web puede ser "hackeada" y los cuales también tienen parches. Pero esto, que sepáis, es el juego del gato y el ratón. Como dije, muy buen aporte, aunque hoy en día si el que ha programado una página es buen programador, ésto es una de las cosas que le salen "como andar". Un saludo!

11sfqxt.jpg

2d8rw4p.jpg


#8
cristianvar

cristianvar

    Curioso

  • Miembro
  • MarcarMarcarMarcar
  • 31 Mensaje(s)
  • Skype:cristianvar4
  • Sexo:Masculino
  • Localización:Bilbao, España
Exacto, pero yo, por ejemplo, cuando recién empecé con PHP y MySQL, no conocía esto, y como ningún trabajo de los que hacía era para algún proyecto importante, nunca me molesté en buscar vulnerabilidades y soluciones en mis scripts. Un saludo!
  • Fiti likes this

CodeSaved - Trabajando con el código


#9
Desagradable

Desagradable

    Interesado

  • Miembro
  • MarcarMarcarMarcarMarcar
  • 57 Mensaje(s)

gracias por tu me gusta







Also tagged with one or more of these keywords: funcion, evitar, inyeccion, sql, php

0 Usuario(s) están leyendo este Tema

0 miembro(s), 0 invitado(s), 0 usuario(s) anónimo(s)