Cita:
Iniciado por Sourcegeek 
Intenta usar mysql_real_escape_string o addslashes ;)
Asi se previenen los ataques SQL
Mi función inicial es:
Código PHP:
function buscar($idProd){
$query = "SELECT id_producto, id_categoria, nombre
FROM producto
WHERE id_producto='$idProducto'";
$BD = new ConexionDB();
..... (sigue)
He cambiado por este pero sale un error:
Código PHP:
$query = sprintf("SELECT id_producto, id_categoria, nombre
FROM producto
WHERE id_producto='%s'", mysql_real_escape_string($idProducto));
echo $query;
El error que sale es:
Código PHP:
SELECT id_producto, id_categoria, nombre FROM producto WHERE id_producto=''
Qué está mal? Encontré este código [URL="http://www.ribosomatic.com/articulos/como-evitar-sql-injection-en-nuestra-consultas-phpmysql/"]aquí[/URL]
