[PHP] Prevenir inyección SQL en sentencias

236 views

0 0

¿Cómo se previenen?

Utilizando instrucciones preparadas y consultas parametizadas. Estas son sentencias SQL que son enviadas y analizadas por el servidor de la base de datos separadamente de cualquier parámetro. De esta manera es imposible para un atacante inyectar SQL malicioso.

¿Cómo se utilizan?

Usando la extensión MySQLi o PDO y ciertos parámetros que utilizaremos a continuación, en este caso (como yo lo utilizo) voy a poner el ejemplo en MySQLi.

Código

Previamente a empezar con las sentencias, necesitamos crear nuestra conexión con la base de datos, en este caso llamado conexion.php

conexion.php

<?php
##########################
$hostname = "servidor";
$username = "usuario db";
$password = "contraseña db";
$database = "base de datos";
##########################

$conexion = new mysqli($hostname, $username, $password, $database);

/* comprobar conexión */
if ($conexion->connect_error) {
    die('Error de Conexión (' . $conexion->connect_errno . ') '
            . $conexion->connect_error);
}

Una vez creada la conexión, podemos prevenir nuestras inyecciones usando sentencias parametizadas como en este ejemplo.

//Incluimos el anterior código php para poder establecer una conexión con la base de datos. Include_once significa que solo se incluya una vez, para que no se vuelva establecer más veces llevando a errores.
include_once('conexion.php');

//En caso que enviemos mediante post un usuario establecemos variable para prepararla después.
$nombre = $_POST['nombredelinput'];

//Primero creamos la sentencia SQL
$sql = "SELECT * FROM usuarios WHERE nombre = ?";

//Preparamos la sentencia anteriormente establecida
$stmt = $conexión->prepare($sql); //$conexion es una variable previamente creada para conectarnos a nuestra db.

//Enlazamos el parámetro a la sentencia. La "s" significa "string", en caso de tener un número sería "i". Opciones : i = integer, d = double, s = string, b = blob.
$stmt->bind_param('s', $nombre);

//Ejecutamos
$stmt->execute();

//Obtenemos resultado
$resultado = $stmt->get_result();

//Mientras que haya resultado de filas hacer algo con $row.
while ($row = $result->fetch_assoc()) {
    // Hacer algo con $row.
}

//Y para acabar, liberamos memoria resultados en memoria y cerramos la consulta con close.
$stmt->free_result();
$stmt->close();

About author

PandaGG

Lok'tar ogar

Cancelar la respuesta

Últimos tweets

¿Quieres conseguir el logro Gloria del asaltante de Nya'lotha? ¡A continuación te explicamos como! https://t.co/EucLIBrMOZ347Hace dias
¡Nuestra guía del #FarCry5 ya ha llegado , entra para ver más sobre este fantástico juego! https://t.co/gfOKSPQsHiHace más de un año
RT @Imakrogan: Eeeh @Yuzuriha95 y yo hemos creado una guild, uníos si queréis =D https://t.co/S6qf1zHepeHace más de un año
¡No te pierdas los libros de the Witcher! Te enseñamos toda la cronología. #libros #thewitcher https://t.co/jI8ipNgdZsHace más de un año
¡Conoce nuestra Guía Fortnite Battle Royale PS4. Desafíos, Trucos y Consejos 2019! #fortnite #ps4 https://t.co/1nlG58tLMKHace más de un año

¿Cómo se previenen?

¿Cómo se utilizan?

Código

¿Qué tipo de contenido queréis más?