Cita:
Iniciado por GatorV Así es, si estas trabajando con MySQL es conveniente hacer eso, todo depende del RDBMS que uses, aunque para mayor seguridad te recomendaría usar PDO y usar prepared statements.
Saludos.
GatorV, uso como sistema administrador de bases de datos MySQL, así que debería de ser oportuno, sin embargo al respecto de sustituir la función addslashes() de mi código por mysqli_real_escape_string(), tengo dudas.
En la descripción de la función addslashes() veo que esta lo que hace es escapar caracteres especiales, y en el paréntesis se coloca como parámetro una variable que contiene una cadena.
Cita: string addslashes ( string $str )
En la descripción de mysqli_real_escape_string() (estilo por procesos), veo que aunque esta devuelve un string al igual que addslashes(), requiere dos parámetros obligatorios...
Cita: string mysqli_real_escape_string ( mysqli $link , string $escapestr )
El segundo parámetro es una variable conteniendo un tipo de dato "string", pero,
¿qué tipo de dato es el del primer parámetro?
Doy por hecho que las dos funciones son "afines" en las acciones que realizan sobre una determinada cadena de texto, en mi código, uso addslashes() para filtrar una palabra que luego será comparada a través de una sentencia SQL tipo "AGAINST ('$cadena' IN BOOLEAN MODE)".
Entonces ¿dónde está el beneficio real de usar en mi caso mysqli_real_escape_string()?