[PHP] Prevenir inyección SQL en sentencias

236 views
0

¿Cómo se previenen?

Utilizando instrucciones preparadas y consultas parametizadas. Estas son sentencias SQL que son enviadas y analizadas por el servidor de la base de datos separadamente de cualquier parámetro. De esta manera es imposible para un atacante inyectar SQL malicioso.

 

¿Cómo se utilizan?

Usando la extensión MySQLi o PDO y ciertos parámetros que utilizaremos a continuación, en este caso (como yo lo utilizo) voy a poner el ejemplo en MySQLi.

Código

Previamente a empezar con las sentencias, necesitamos crear nuestra conexión con la base de datos, en este caso llamado conexion.php

conexion.php

<?php
##########################
$hostname = "servidor";
$username = "usuario db";
$password = "contraseña db";
$database = "base de datos";
##########################

$conexion = new mysqli($hostname, $username, $password, $database);

/* comprobar conexión */
if ($conexion->connect_error) {
    die('Error de Conexión (' . $conexion->connect_errno . ') '
            . $conexion->connect_error);
}

Una vez creada la conexión, podemos prevenir nuestras inyecciones usando sentencias parametizadas como en este ejemplo.

//Incluimos el anterior código php para poder establecer una conexión con la base de datos. Include_once significa que solo se incluya una vez, para que no se vuelva establecer más veces llevando a errores.
include_once('conexion.php');

//En caso que enviemos mediante post un usuario establecemos variable para prepararla después.
$nombre = $_POST['nombredelinput'];

//Primero creamos la sentencia SQL
$sql = "SELECT * FROM usuarios WHERE nombre = ?";

//Preparamos la sentencia anteriormente establecida
$stmt = $conexión->prepare($sql); //$conexion es una variable previamente creada para conectarnos a nuestra db.

//Enlazamos el parámetro a la sentencia. La "s" significa "string", en caso de tener un número sería "i". Opciones : i = integer, d = double, s = string, b = blob.
$stmt->bind_param('s', $nombre);

//Ejecutamos
$stmt->execute();

//Obtenemos resultado
$resultado = $stmt->get_result();

//Mientras que haya resultado de filas hacer algo con $row.
while ($row = $result->fetch_assoc()) {
    // Hacer algo con $row.
}

//Y para acabar, liberamos memoria resultados en memoria y cerramos la consulta con close.
$stmt->free_result();
$stmt->close();
About author

PandaGG

Lok'tar ogar

Your email address will not be published. Required fields are marked *