si trato de evitar la inyeccion sql solo que en elejemplo lo puse como una linea y comentada
johhan16, yo lo hago mas o menos asi
Código PHP:
$q = sprintf("INSERT INTO mitabla1(campo1,campo2,campo3) VALUES('%s','%s','%s')",
comillas_inteligentes($_get["c1"]),
comillas_inteligentes($_get["c2"]),
comillas_inteligentes($_get["c3"]) );
mysql_query($q,$link) or die("ocurrio error");
aotroarchivos.php
Código PHP:
function comillas_inteligentes($valor)
{
// Retirar las barras
if (get_magic_quotes_gpc())
{
$valor = stripslashes($valor);
}
// Colocar comillas si no es entero
//if (!is_numeric($valor)) {
$valor = mysql_real_escape_string($valor);
//}
return $valor;
}
este codigo es el resultado de mucho dias de investigacion y pruebas hace varios meses, cuando tambien tube problemas de hackers.
alomejor si se junta el codigo que pusiste + el que pongo sale algo bueno
solo faltaria confirmar (como bien dices) si realmente con solo incluirlo funciona
el codigo que pusiste. pd: si lo haces lo pegas aqui para que todos tengamos una referencia.
entonces si mi codigo funciona para evitar el sql inyection, de que otra forma pudieron hackearme?