Cita:
Iniciado por frijolerou Eso es cierto, pero en este caso lo que el amigo planteaba era si resulta más conveniente usar directamente $_GET['var'] o primero pasarlo a $var, y luego utilizar $var.
Yo te recomiendo pasarlo a $var por el mismo tema señalado de la seguridad.
Es muy facil poner la injeccion como ya debes saber. Y para eso se usa la variable para poder convertir eso a una cadena valida en mysql.
Si bien seria mas rapido poner $_GET['var'] directamente en tu sql, no es lo mas conveniente por lo señalado.
Suerte
