Errores que se deben evitar con mysql_real_escape_string

A pesar de ser un método comúnmente utilizado para prevenir la inyección de SQL, mysql_real_escape_string puede no proteger contra ataques si se utiliza incorrectamente . Si bien escapa eficientemente caracteres especiales en valores de cadena, pueden surgir ciertos escenarios donde su efectividad se vea comprometida.

Uso correcto: valores de cadena entrecomillados

mysql_real_escape_string solo debe emplearse cuando insertar contenido de texto entre comillas en declaraciones SQL. Por ejemplo:

$value = mysql_real_escape_string($value, $link);
$sql = "... `foo` = '$value' ...";

Usos incorrectos

Las aplicaciones incorrectas de mysql_real_escape_string pueden generar vulnerabilidades. Los errores comunes incluyen:

• Usarlo en contextos sin comillas (por ejemplo, ... nombre_columna = $valor...)
• Aplicarlo a valores que no son cadenas (por ejemplo, entradas numéricas)
• Aplicarlo mal fuera de contextos SQL (por ejemplo, $sql = mysql_real_escape_string("... foo = '$valor' ..."))

Consideraciones de codificación

Otro error es configurar mal la codificación de la conexión de la base de datos. El método correcto es:

mysql_set_charset('utf8', $link);

Sin embargo, usar mysql_query("SET NAMES 'utf8'", $link) puede causar discrepancias entre las API de mysql_ codificación asumida y la codificación real de la base de datos. Esto puede potencialmente permitir ataques de inyección que involucren cadenas multibyte.

Conclusión

mysql_real_escape_string sigue siendo una herramienta valiosa si se usa según lo previsto. Sin embargo, reconocer sus limitaciones y aplicarlo correctamente es fundamental para prevenir vulnerabilidades de inyección SQL. Se recomienda explorar alternativas más modernas, como declaraciones preparadas, para mayor seguridad y facilidad de uso.