Hola.
Tengo una duda con estas lineas de codigo. Quiero escapar la cadena antes de guardar lo datos en la base.
Las variables $_POST, tienen algun dato introducido por el usuario.
Si solo uso mysql_real_escape_string(), no escapa la cadena, pero si uso addcslashes(), la cadena se escapa sin problemas
¿Porque pasa eso?
¿Es correcto el uso de las funciones planteado como asi?
Código:
$query= sprintf("INSERT INTO usuarios (nom_us, ape_us, nick, pass, email_us, nivel) VALUES('%s', '%s', '%s', '%s', '%s', '%d')",
//addcslashes, muestra una barra invertida antes de las caracteres definidos en el segundo parametro de esta función.
addcslashes(mysql_real_escape_string($_POST['nom_us']),'%_'),
addcslashes(mysql_real_escape_string($_POST['ape_us']),'%_'),
addcslashes(mysql_real_escape_string($_POST['nick_us']),'%_'),
addcslashes(mysql_real_escape_string($_POST['pass_us']),'%_'),
addcslashes(mysql_real_escape_string($_POST['email_us']),'%_'),
$config['nivel']
);