Tema: Inyeccion sql
Ver Mensaje Individual
  #6 (permalink)  
Antiguo 25/06/2010, 18:04
Avatar de Triby
Triby
Mod on free time
  
Fecha de Ingreso: agosto-2008
Ubicación: $MX->Gto['León'];
Mensajes: 10.106
Antigüedad: 16 años, 5 meses
Puntos: 2237
Respuesta: Inyeccion sql
Lo de las comillas simples con \ antepuesto es por configuracion de PHP en el servidor que tiene activas las comillas magicas, por lo que deberias:

Código PHP: 
Ver original
  1. // Verificar si esta activa la opcion
  2. if(get_magic_quotes_gpc()) {
  3.     $valor_de_post = stripslashes($_POST['valor_de_post']);
  4. } else {
  5.     $valor_de_post = $_POST['valor_de_post'];
  6. }
  7.  
  8. // Antes de insertar en tu base de datos:
  9. $valor_de_post = mysql_real_escape_string($valor_de_post);

Con esto solo evitas inyeccion en base de datos, te faltaria todavia ver de que manera tratas la demas informacion para usar htmlentities() o alguna otra que evite insercion de javascript y otros bichos.
__________________
- León, Guanajuato
- GV-Foto