[PHP] Prevenir inyección SQL en sentencias

¿Cómo se previenen?

Utilizando instrucciones preparadas y consultas parametizadas. Estas son sentencias SQL que son enviadas y analizadas por el servidor de la base de datos separadamente de cualquier parámetro. De esta manera es imposible para un atacante inyectar SQL malicioso.

 

¿Cómo se utilizan?

Usando la extensión MySQLi o PDO y ciertos parámetros que utilizaremos a continuación, en este caso (como yo lo utilizo) voy a poner el ejemplo en MySQLi.

Código

Previamente a empezar con las sentencias, necesitamos crear nuestra conexión con la base de datos, en este caso llamado conexion.php

conexion.php

<?php
##########################
$hostname = "servidor";
$username = "usuario db";
$password = "contraseña db";
$database = "base de datos";
##########################

$conexion = new mysqli($hostname, $username, $password, $database);

/* comprobar conexión */
if ($conexion->connect_error) {
    die('Error de Conexión (' . $conexion->connect_errno . ') '
            . $conexion->connect_error);
}

Una vez creada la conexión, podemos prevenir nuestras inyecciones usando sentencias parametizadas como en este ejemplo.

//Incluimos el anterior código php para poder establecer una conexión con la base de datos. Include_once significa que solo se incluya una vez, para que no se vuelva establecer más veces llevando a errores.
include_once('conexion.php');

//En caso que enviemos mediante post un usuario establecemos variable para prepararla después.
$nombre = $_POST;

//Primero creamos la sentencia SQL
$sql = "SELECT * FROM usuarios WHERE nombre = ?";

//Preparamos la sentencia anteriormente establecida
$stmt = $conexión->prepare($sql); //$conexion es una variable previamente creada para conectarnos a nuestra db.

//Enlazamos el parámetro a la sentencia. La "s" significa "string", en caso de tener un número sería "i". Opciones : i = integer, d = double, s = string, b = blob.
$stmt->bind_param('s', $nombre);

//Ejecutamos
$stmt->execute();

//Obtenemos resultado
$resultado = $stmt->get_result();

//Mientras que haya resultado de filas hacer algo con $row.
while ($row = $result->fetch_assoc()) {
    // Hacer algo con $row.
}

//Y para acabar, liberamos memoria resultados en memoria y cerramos la consulta con close.
$stmt->free_result();
$stmt->close();
PandaGG
Lok'tar ogar

Dejar respuesta

Please enter your comment!
Please enter your name here

Sponsor

Últimos

Guía Final Fantasy 2: consejos, trucos y recorrido.

Tras haber abordado la guía detallada del primer juego de esta magnífica y popularísima saga de juegos de rol japonés, es de justicia que...

Los mejores micrófonos para Streaming de 2021

Si has llegado hasta aquí es porque estás buscando un micrófono para iniciarte en el mundo del streaming. Estás en el lugar correcto. Pero...

Análisis de Beyond Mankind: The Awakening

Beyond Mankind: The Awaking es un título de distopía y supervivencia de la humanidad. Un juego que nos habla de un futuro en el que...

Guía Final Fantasy 1: consejos y trucos

Aunque resulte increíble, esta primera versión de la archiconocida saga de videojuegos de rol que apareció en 1987, está disfrutando de una segunda juventud....

Las 6 Mejores Webcams para Streaming

Si estás pensando en lanzarte al mundo de la creación de contenidos en Youtube, Twitch o cualquiera de las plataformas de moda, la primera...