Mensajes

Una vez alguien me dijo que los indices eran más rápidos.

Pero se supone que eso es otro paso, "Validación de campos", que hay que hacerlo tanto en el servidor, como en el cliente.

Pero como bien lo dijeron,

no le veo mucha funcionalidad ni practicidad, lo siento pero no es recomendale esa funcion.

1.- nada como un excelente casteo.

Código (php) [Seleccionar] Expandir


intval();
2.- y esta mera para escapar caracteres feos   

Código (php) [Seleccionar] Expandir

mysql_real_escape_string();

Pero si existe un sistema de cifrado, supongo que también para descifrarlo... Lo que trato de decir, es que no importa que sistema de cifrado uses, si la aplicación es vulnerable, cualquiera podrá obtener los datos. Ya qué, -como te lo dije antes-, si tienes un algoritmo para cifrar, obviamente deberás de tener el algoritmo para decifrarlo, así que no valdría de nada, solo consumes más tiempo para la devolución y consulta de datos.

[3.]

3. Lo que quise decir es qué puedes hacer esto,

Código (php) [Seleccionar] Expandir

if( /*Condición1*/ ){ [...] }elseif( /*Condición2*/ ){ [...] }elseif( /*Condición3*/ ){ [...] }else{ [...] }

en vez de esto,

Código (php) [Seleccionar] Expandir

if( /*Condición1*/ ){ [...] }else{ if( /*Condición2*/ ){ [...] } }

5. Al convertir una variable en cualquier algoritmo no evita la inyección de código SQL. Esto lo digo, porque un amigo pensaba que al cifrar la variable id en base64 evitaba esta vulnerabilidad...

Podrías especificar que es lo que contiene, que clase de vídeos?

[1.]

A ver, varias cosas antes de empezar con lo de la seguridad.

1. Deberías de identar el código para que sea más legible.
2. Para imprimir sólo una variable en PHP, la manera más simple es hacer, <?= $var; ?>
3. Consulta los if, else, elseif.
4. Para verificar y validar un número entero, podrías usar el método "casting", de la siguiente forma: (int)$var;
5. Sólo por curiosidad, para que conviertes el valor de las variables en AES?

A ver, no es nada del otro mundo, son sólo malas excepciones de la aplicación cuando se ingresar una comilla simple, ¿Porque pasa esto?, pues supongo que no tiene algun filtro de validación para los caracteres ingresados por la variable bean...

Elimina todas las entidades HTML que se encuentren, como por ejemplo: &nbsp; y <br>, ya que sólo son un printeo.

ajjajaja supongamos que tienes un ciclo de 0 a 1, -sólo se ejecutará 1 vez-, dentro del ciclo la variable contadora la inicializas en 0, así que siempre que entre al ciclo va ser menor que 1 y continuará ejecutandose hasta que cambie el valor de la variable -cosa que nunca hará porque siempre valdrá 0-.

Entiendes la analogía que quiero hacer?

[CONCLUSIÓN:]

Pues a ver, depende del entorno en que lo estáis manejando. Es decir, supongamos que tengamos la siguiente query, y que podamos agregarle cualquier valor a la variable $_GET['id'],

Código (sql) [Seleccionar] Expandir

SELECT id,nombre,apellido FROM usuario WHERE(id = '1'); -- 1 sería igual a la variable $_GET['id']

Entonces para poder inyectar código a nuestra query original, necesitamos de una comilla simple seguido de las sentencias, en caso de poner la comilla, se tomará como string.

CONCLUSIÓN: El parámetro que más importancia tiene para el filtro es la comilla, ya que es que permite la ejecución de la otra query en la query principal.