Cross Site Scripting (XSS) - Foros Club Delphi

#18

04-12-2006

dec

Moderador

Registrado: dic 2004

Ubicación: Alcobendas, Madrid, España

Posts: 13.141

Poder: 36

Hola,

No. En realidad no se le aplica "Escapar" a la consulta SQL, sino a los elementos que la conforman.

Es decir, no se hace algo como esto:

Código PHP:


			
$titulo = $_POST['titulo'];
$consultaSql = Escapar("SELECT * FROM enlaces WHERE titulo = '$titulo'");

Sino que se hace algo como esto otro:

Código PHP:


			
$titulo = Escapar($_POST['titulo']);
$consultaSql = Escapar("SELECT * FROM enlaces WHERE titulo = '$titulo'");

Sigo el manual de PHP, la función: mysql_real_escape_string, concretamente el ejemplo número 2: "An example SQL Injection Attack".

__________________
David Esperalta
www.decsoftutils.com

Última edición por dec fecha: 04-12-2006 a las 19:15:36.

Normas de Publicación
no Puedes crear nuevos temas no Puedes responder a temas no Puedes adjuntar archivos no Puedes editar tus mensajes El código vB está habilitado Las caritas están habilitado Código [IMG] está habilitado Código HTML está deshabilitado

Saltar a Foro

Temas Similares
Tema	Autor	Foro	Respuestas	Último mensaje
Pivot table Editable (cross-tab)	villegasmajano	MS SQL Server	1	25-10-2006 23:28:57
como manejan uds en Firebird 1.5 el PIVOT de oracle?? (CROSS TABS)	pvizcay	Firebird e Interbase	4	19-09-2006 19:17:32
Ajuste de decimales en un Cross-Tab	nugame	Impresión	4	16-06-2004 13:40:44

La franja horaria es GMT +2. Ahora son las 05:38:13.