Consulta segura en MySQL y PHP
Base de datos GNU/Linux Programación Seguridad
Al momento de desarrollar una aplicación con base de datos, se debe tomar en cuenta la seguridad del mismo, uno de los ataques más comunes es el sql injection que consta básicamente de introducir código sql en cajas de texto de nuestro sistema con el fin de introducirse ó sacar información.
Un ejemplo de sql injection sería el siguiente:
La variable $consulta contendría:
SELECT * FROM usuarios WHERE usuario='aidan' AND password='' OR ''=''
Esto permitiría a cualquier usuario ingresar al sistema sin password.
Para realizar una consulta segura, utilizaremos 2 funciones mysql_real_escape_string y sprintf, se pudiera resolver también modificando la configuración del php para no permitir caracteres especiales, pero ésto sería una desventaja, ya que no permitiría la portabilidad del código.
Ojo, si no hay una conexión con el servidor, la función mysql_rea_space_string marcará un error.
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario