Inicio Seguridad Como evitar SQL Injection en nuestra consultas PHP/MySQL

Como evitar SQL Injection en nuestra consultas PHP/MySQL

15 3777

SQL Injection (esp. Inyección SQL) se define como:

[…] una vulnerabilidad informática en el nivel de la validación de las entradas a la base de datos de una aplicación. El origen es el filtrado incorrecto de las variables utilizadas en las partes del programa con código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o de script que esté incrustado dentro de otro. […] – Wikipedia.

Pueden seguir leyendo en Wikipedia donde se explica detalladamente, incluso con ejemplos. Pero agrego mi aporte con estos ejemplos:

Una consulta vulnerable:

 
$query = "SELECT * FROM libros WHERE autor='$autor_nombre'";

mysql_query($query);

Usando mysql_escape_string para manejar como texto las comillas, y además sprintf para dar formato a la cadena.

 
$query = sprintf("SELECT * FROM libros WHERE autor='%s'",

mysql_real_escape_string($autor_nombre));

mysql_query($query);

Ahora si nuestra consulta trabaja con instrucciones como: LIKE, GRANT ó REVOKE. Esta es una forma más segura:

 
$query = sprintf("SELECT * FROM libros WHERE autor='%s'",

addcslashes(mysql_real_escape_string($autor_nombre),'%_'));

mysql_query($query);

addcslashes muestra una barra invertida antes de las caracteres definidos en el segundo parametro de esta función. 

Programador y Desarrollador Web. Administrador de RibosoMatic y Proyecto Yupy. Blogger y entusiasta de la tecnología, internet, software y tutoriales para desarrollo de aplicaciones para la web ....