Ver Mensaje Individual
  #13 (permalink)  
Antiguo 12/11/2007, 18:28
Lanselot
 
Fecha de Ingreso: noviembre-2007
Mensajes: 157
Antigüedad: 17 años, 3 meses
Puntos: 3
Re: sera verdad que es mejor usar esto???

Cita:
Iniciado por frijolerou Ver Mensaje
Esa conversión también la puedes hacer directamente sobre el array $_GET. Supongamos que el servidor tiene desactivadas las "magic quotes" y necesitas aplicar la función addslashes() a los valores enviados:

Código PHP:
if(!get_magic_quotes_gpc()){
    foreach(
$_GET as $key => $value){
        
$_GET[$key] = addslashes($value);
    }

Y luego continuas usando directamente $_GET['algo'] en la sentencia SQL
Permíteme decir que la explicación está incompleta, y además es un mal consejo.
Primeramente, las magic quotes solo sirven si se usan comillas en la consulta sql.

Código PHP:
"select * from mitabla where id=".$_GET['id']; //sigue siendo vulnerable.

//Tendría que usarse así:
'select * from mitabla where id="'.$_GET['id'].'"'
Y aun así es insuficiente, pues hay métodos conocidos que posibilitan inyectar sql a pesar de tener comillas escapadas. SIEMPRE debe usarse mysql_real_escape_string