Foros del Web - Ver Mensaje Individual - Basta con esta funcion para evitar ataques sql?

RichBoy · #1 (**permalink**) 04/05/2011, 17:03

Basta con esta funcion para evitar ataques sql por medio de las variables externas? solo para las variables externas, pues se que se puede por otros medios pero por el momento quiero saver si con esta funcion estamos seguros de que no van a inyectar algun codigo maligno atraves de las variable externas.

http://www.forosdelweb.com/f18/ejemp...4/#post2351131

Código PHP:

Ver originalif (!function_exists("GetSQLValueString")) { 
function GetSQLValueString($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = "")  
{ 
  $theValue = get_magic_quotes_gpc() ? stripslashes($theValue) : $theValue; 
 
  $theValue = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($theValue) : mysql_escape_string($theValue); 
 
  switch ($theType) { 
    case "text": 
      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL"; 
      break;     
    case "long": 
    case "int": 
      $theValue = ($theValue != "") ? intval($theValue) : "NULL"; 
      break; 
    case "double": 
      $theValue = ($theValue != "") ? "'" . doubleval($theValue) . "'" : "NULL"; 
      break; 
    case "date": 
      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL"; 
      break; 
    case "defined": 
      $theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue; 
      break; 
  } 
  return $theValue; 
} 
}

ejemplo de llamando a la funcion:

Código PHP:

Ver original$variable=GetSQLValueString($_GET['Id'],"int");