Con que PHP filtre las comillas de entrada (por defecto desde hace tiempo) y nosotros pasemos las strings en la SQL entre ' ' es suficiente para filtrar cualquier SQL injection. Y los números un "isnumeric" basta (incluso ni eso poniendolos entre comillas).
Eso que se comenta en el artículo, es más viejo que el "Howto Pringao".
gazpa, hay más lenguajes aparte de PHP y más bases de datos que MySQL, de hecho muchas veces hay que desarrollar las aplicaciones abstrayéndonos de la base de datos, por lo que no puedes confiar en características específicas de una base de datos, como lo que comentas de MySQL por la que en cualquier atributo se pueden meter valores entrecomillados.
Comentarios
Ejemmm...no quiero mirar si ha sallido en digg o no..no me voy a molestar, pero si hago:
http://www.google.es/search?hl=es&q=sql+injection&btnG=B%C3%BAsqueda+en+Google&meta=lr%3Dlang_en
voila!!:-D
que bonitos los acentos....
Me encanta la etiqueta: a_machete
Con que PHP filtre las comillas de entrada (por defecto desde hace tiempo) y nosotros pasemos las strings en la SQL entre ' ' es suficiente para filtrar cualquier SQL injection. Y los números un "isnumeric" basta (incluso ni eso poniendolos entre comillas).
Eso que se comenta en el artículo, es más viejo que el "Howto Pringao".
Ya que nos ponemos talibanes, 'inyección' va con 'y', no con 'j'.
#1 no suelo porner acentos, por aquello del UTF-8
gazpa, hay más lenguajes aparte de PHP y más bases de datos que MySQL, de hecho muchas veces hay que desarrollar las aplicaciones abstrayéndonos de la base de datos, por lo que no puedes confiar en características específicas de una base de datos, como lo que comentas de MySQL por la que en cualquier atributo se pueden meter valores entrecomillados.
Por otra parte, te comento que lo que dices de las comillas que se filtran automáticamente, supongo que te referiras al gpc_magic_quotes, uno de los peores inventos de PHP, en este post lo tienes más explicado: http://www.eslomas.com/index.php/archives/2005/10/13/como-evitar-problemas-con-magic-quotes/