Cita:
Iniciado por Hidek1 
:S... no entendiste lo que dije :P
en ningun momento salgo de la pagina ni paso el array por el cliente.. y si fuera en paginas separadas siempre puedes hacer la consulta denuevo..
aunque me agrada mas la opcion de establecer los campos permitidos desde sql
saludos!
Estoy un poco confundido :(. A ver, acabas de obtener la información directamente de la tabla, entonces ¿ para que la validas?. En el supuesto caso de enviar la info, mi caso, aplicaría como tu bien dices una query para comprobar los valores del select... Eso si lo veo!!
Cita:
Iniciado por eulloa ¿q esperas recibir o de q te quieres proteger exactamente?
A ver, si en los select esperas valores NUMERICOS, bueno pues debería bastar con un casting forzado al recibirlo, pues sería solo eso, un número. Si esperas cualquier tipo de cadena, deberías utilizar las funciones que PHP tiene para esto o crear la tuya propia, me da la idea rápido utilizar expresiones regulares. Si esperas solo determinadas cadenas podrías desde MySQL fijar los campos, mediante campos tipo ENUM.
El tema es largo pero deberíamos empezar por CONTRA Q TE QUIERES PROTEGER
Quiero protegerme de información erronea introducida por el usuario mediante ataques de envio de forms desde su máquina.
Ya tengo validados los campos ENUM en la base de datos, pero aún así le tienes que pasar los valores definidos por que si no, la query fallará.
Por ejemplo necesito que el campo select $_POST['forma_contacto'] sólo contenga los valores 'movil', 'email', o 'telefono'. Por tanto necesitaré o bien crear un array propio con estos valores o tener un tabla FORMAS_CONTACTO con dichos valores para validar que la forma de contacto es una de estas 3 opciones y no 'FAX' ( por ejemplo )