tomar datos de un checkbox
Rodrigo Fuentealba
darkprox en gmail.com
Sab Ene 14 19:56:44 CLST 2006
Luis Vega wrote:
> ojo que usar $_POST['RUT'] directamente es un potencial problema
>
> de seguridad, deberias validar cualquier variable antes de
> meterla dentro de un mysql_query().
>
>
> te refieres a hacer una validacion con isset?.
Nop, se refiere a problemas con la inserción de código (SQL, JavaScript,
HTML, etc...). el isset solamente valida si es que la variable existe o
no, pero esa variable puede contener no solamente datos como el RUT,
sino tambien porciones de código como <script>alert('Hay un virus en tu
PC');</script> o peor aun, código que borre las bases de datos MySQL.
Si tienes: select * from usuarios where rut = '$_POST['rut']';
evalúa con rut = [12345678-9]. OK:
select * from usuarios where rut = '12345678-9';
pero, evalúa con rut = [1-9' or '1'='1]
select * from usuarios where rut = '1-9' or '1'='1';
"UPS", al menos una de ambas condiciones será verdadera, por lo que te
mostrará todos los datos de la BD que pueden ser hartos.
Ni siquiera estoy seguro de que el ejemplo que puse funcione, pero es
para que entiendas la idea de que la inserción de código es un problema
serio y es tan fácil como "Complete L'Oración..."
>
> --
> Ricardo Mun~oz A.
> Usuario Linux #182825 ( counter.li.org <http://counter.li.org>)
>
>
>
> ------------------------------
>
> _______________________________________________
> PHP mailing list
> PHP en listas.inf.utfsm.cl <mailto:PHP en listas.inf.utfsm.cl>
> https://listas.inf.utfsm.cl/mailman/listinfo/php
>
>
> Fin de Resumen de PHP, Vol 27, Envío 11
> ***************************************
>
>
>
>
> --
> Luis Vega M.
> Linux Registered User #356394
> GnuPG v1.4.1-1 (Debian GNU/Linux)
> PG-ID: C0778DD2 <fodsite AT gmail DOT com>
> http://fodsite.webcindario.com
--
Rodrigo Fuentealba Cartes
Tecnico Analista Programador
Registered User #387639 - http://counter.li.org
Más información sobre la lista de distribución PHP