SEGURIDAD contra inyeccion SQL y XSS

Hola chicos quisiera que me orientaran un poco mas sobre este tema, he hecho una pagina realizando los cursos de Zeus, tengo varios fomularios, bueno ha decir verdad no se mucho de este tema de seguridad.

mi pregunta es:

¿es seguro o almenos lo suficientemente seguro el codigo asi como en los cursos para evitar este tipo de inyecciones?

o debo utilizar mysqli_real_escape_string para agregar datos a la base de datos y para imprimir o mostrar los datos htmlentities

o que recomiendan hacer?

dado que si utilizo estas dos funciones se agrega perfectamente a la base de datos pero al momento de mostrar no me aparece la informacion como yo la agrego sino con en forma html por ejemplo las comas, ñ etc.

podrian ayudarme y oritarme un poco mas acerca de esto? se que no hay una web 100% segura pero utlizando la web solo como en el curso esta lo suficientemente segura o debo implementar las funciones.

Buenas, estas inscrito a alguno de los cursos? En casi todos los cursos de zeus se habla de seguridad en los ultimos capítulos.. saludos

alber dijo:
Buenas, estas inscrito a alguno de los cursos? En casi todos los cursos de zeus se habla de seguridad en los ultimos capítulos.. saludos

gracias albert, si de hecho estoy incrito en el de anuncios, pero hasta el capitulo 83 solo se meciona sobre la funcion htmlentities, dicen que esta funcion sirve mas para evitar el XSS, investigando un poco, me encontre con mysqli_real_escape_string, que es el que evita o almenos te protege un poco mas acerca de inyeccion SQL en la base de datos, pero creo que esto solo me confundio un poco, por lo que he leido, en teoria es mejor utlizar htmlentities al mostrar informacion, pero no estoy seguro con mysqli_real_escape_string, me he revorujado un poco, quiero creer que la pagina tal como nos enseña Zeus en el curso es suficientemente segura, pero creo que me desoriente mas que orientarme.

Entiendo yo te diria que no te preocupes yo tambien hago las paginas asi y de momento todas siguen en pie xd es normal que tengas esas inquietudes todos las hemos tenido, lo mejor es centrarte en hacer que tu pagina funcione y crezca en contenidos con miles de visitas, cuando eso pase ya tendras tiempo de preocuparte... saludos

alber dijo:
Entiendo yo te diria que no te preocupes yo tambien hago las paginas asi y de momento todas siguen en pie xd es normal que tengas esas inquietudes todos las hemos tenido, lo mejor es centrarte en hacer que tu pagina funcione y crezca en contenidos con miles de visitas, cuando eso pase ya tendras tiempo de preocuparte... saludos

Gracias albert, seguire tu consejo, espero ya tener lista la pagina al 100% y tenerla online en unos dias, si es que no sale algun inconveniente (espero que no), de igual modo me gustaria que cuando este funcionando, pues puedan visitarla, y tambien pues espero contribuir aqui con temas, codigos o experiencias en Datoweb, pero por ahora pues como dices a centrarme a tener la pagina bien terminada y online, de ante mano y de nuevo gracias.

Me alegro de oir eso, aqui tienes un amigo

Hola, normalmente hacemos las consultas usando la función GetSQLValueString, esta es una función de Dreamweaver que si la copiamos podemos usarla en cualquier proyecto sin usar Dreamweaver. La función GetSQLValueString implícitamente trae la función de PHP mysqli_real_escape_string y su función es exactamente la misma, evitar SQL injection.

Jose dijo:
Hola, normalmente hacemos las consultas usando la función GetSQLValueString, esta es una función de Dreamweaver que si la copiamos podemos usarla en cualquier proyecto sin usar Dreamweaver. La función GetSQLValueString implícitamente trae la función de PHP mysqli_real_escape_string y su función es exactamente la misma, evitar SQL injection.

Excelente aclaración Jose, me alegro de volver a verte por aquí.. saludos crac!