Busqueda Segura PROTEGIDO

Busqueda:

Ingresa un termino de busqueda para comenzar.

Diferencias clave con la version vulnerable

buscar.php (VULNERABLE)

// Concatenacion directa = PELIGRO
$q = "SELECT * FROM clients 
      WHERE name LIKE '%" . $_GET['q'] . "%'";
$conn->query($q);

// Sin escapar = XSS
echo $row['name'];

buscar_secure.php (SEGURO)

// Prepared statement = SEGURO
$stmt = $pdo->prepare("SELECT * FROM clients 
                       WHERE name LIKE ?");
$stmt->execute(['%' . $q . '%']);

// Escapado = Sin XSS
echo htmlspecialchars($row['name']);

Regla de oro: Nunca concatenes input del usuario directamente en SQL. Siempre usa prepared statements (PDO o mysqli con bind_param).

Esta version implementa defensa en profundidad:

SQL Injection: Prepared statements con PDO
XSS: htmlspecialchars() en todo el output
CSP header: Bloquea scripts inline como backup
Session segura: HttpOnly, SameSite=Strict

Proba los mismos payloads que en buscar.php - no van a funcionar.

# Estos payloads NO funcionan aqui:

# SQL Injection - se busca literalmente
?q=' OR '1'='1

# XSS - se muestra como texto
?q=<script>alert('XSS')</script>

# La query parametrizada escapa el input
# El htmlspecialchars() convierte < > a entidades

Herramientas: SQLMap (no funcionara) Burp Suite

// VERSION SEGURA (este archivo):

// 1. Prepared statement con placeholder
$stmt = $pdo->prepare("
    SELECT * FROM clients 
    WHERE name LIKE ?
");
$stmt->execute(['%' . $search . '%']);

// 2. Output escapado
echo htmlspecialchars($row['name'], ENT_QUOTES, 'UTF-8');

// El placeholder ? nunca se interpreta como SQL
// htmlspecialchars convierte < > " ' a entidades HTML