Cita:
Iniciado por frijolerou
Esa conversión también la puedes hacer directamente sobre el array $_GET. Supongamos que el servidor tiene desactivadas las "magic quotes" y necesitas aplicar la función addslashes() a los valores enviados:
Código PHP:
if(!get_magic_quotes_gpc()){
foreach($_GET as $key => $value){
$_GET[$key] = addslashes($value);
}
}
Y luego continuas usando directamente $_GET['algo'] en la sentencia SQL
![Pensando](http://static.forosdelweb.com/fdwtheme/images/smilies/scratchchin.gif)
Permíteme decir que la explicación está incompleta, y además es un mal consejo.
Primeramente, las magic quotes solo sirven si se usan comillas en la consulta sql.
Código PHP:
"select * from mitabla where id=".$_GET['id']; //sigue siendo vulnerable.
//Tendría que usarse así:
'select * from mitabla where id="'.$_GET['id'].'"';
Y aun así es insuficiente, pues hay métodos conocidos que posibilitan inyectar sql a pesar de tener comillas escapadas. SIEMPRE debe usarse mysql_real_escape_string