Evitar inyecciones sql en php

Paulita · 22 Dic 2014

Buenas noches, tengo una duda como puedo hacer para evitar inyecciones de sql en php? Estoy utilizando sentencia preparada, pero con eso está bien? o le debo de agregar algo?, este es parte del código que utilizó:

PHP:

$query=$db->prepare('INSERT INTO persona(idArea, nombre) VALUES(?,?)');
$query->bind_param('is',$this->idArea,$this->nombre);

Julio Rodríguez · 22 Dic 2014

Hola,

yo para eso lo que suelo usar es

PHP: mysqli::real_escape_string - Manual

la función en si la esta usando bien.

un saludo

Oliver12387 · 22 Dic 2014

Si estas usando PDO ya se encarga la clase por si sola de evitar las inyecciones

Julio Rodríguez · 22 Dic 2014

Oliver12387 dijo:
Si estas usando PDO ya se encarga la clase por si sola de evitar las inyecciones

no estoy del todo de acuerdo, es verdad que viene con algo mas de seguridad, pero no te protege de todo por ejemplo del HTML.

php - Are PDO prepared statements sufficient to prevent SQL injection? - Stack Overflow

mirar la 2º respuesta, me parece muy interesante.

1 saludo

Oliver12387 · 22 Dic 2014

Tenía pensado que si, le echare un ojo

Un saludo

Paulita · 27 Dic 2014

Julio Rodríguez dijo:
Hola,

yo para eso lo que suelo usar es

PHP: mysqli::real_escape_string - Manual

la función en si la esta usando bien.

un saludo

Hola Julio Rodriguez gracias por responderme, es decir si utilizo bind_param de la sentencia preparada no es necesario utilizar real_escape_string?

Estoy utilizando mysqli.

TriaSev · 30 Dic 2014

Tienes que utilizar mysqli_real_escape_string($db);

Evitar inyecciones sql en php

Paulita

Julio Rodríguez

Oliver12387

Julio Rodríguez

Oliver12387

Paulita

TriaSev

Comparte esta página