seguridad
Respuesta a un comentario sobre PHP: hablemos de seguridad
Enviado por clbustos el Mié, 21/11/2007 - 10:49.
Clasificado en:
Un usuario acaba de enviarnos un comentario, preguntando porque falla lo siguiente (he eliminado las líneas con comentarios del comentario original)
- include('conexion.php');
- //Ejecucion de la sentencia SQL
- mysql_query("INSERT INTO medicamento (grupo, nombre,clave,formula,prioridad , presentacion, contenido,unidad_medida,existencia,nivel ) VALUES ($_POST[clave],$_POST[nombre],$_POST[grupo], $_POST[prioridad], $_POST[formula], $_POST[presentacion], $_POST[unidad_medida], $_POST[nivel], $_POST[existencia], $_POST[contenido])");
Más allá del problema obvio de la falla de comillas en los valores de la query, alrededor de los $_POST, lo más grave es la posibilidad de hacer una inyección SQL feroz.
- 3 comentarios
- Leer más
- 3333 lecturas
Buscar
Publicidad
Inicio de sesión
Referencias
Comentarios recientes
hace 2 días 14 horas
hace 2 días 14 horas
hace 4 días 14 horas
hace 6 días 4 horas
hace 1 semana 5 días
hace 1 semana 5 días
hace 2 semanas 1 día
hace 3 semanas 4 horas
hace 3 semanas 3 días
hace 3 semanas 5 días