16/05/2011, 17:14
|
| | | Fecha de Ingreso: marzo-2008 Ubicación: Cubil felino
Mensajes: 1.652
Antigüedad: 16 años, 9 meses Puntos: 336 | |
Respuesta: Ataque a mi web por inyección mysql te recomiendo que si uses validaciones por $_POST, aunque sea poca la gente que sepa modificar estos valores las hay.
str_replace("'","\'",$variable);
Esta instruccion reemplaza todas las ' por \' lo que evita que las cadenas se rompan, por ejemplo, en el caso anterior:
"Select * FROM tabla where variable1='variable';DELETE FROM tabla"
se convertiría en
"Select * FROM tabla where variable1='variable\';DELETE FROM tabla'"
lo que salvaría tu tabla de la muerte XD
__________________ El objetivo de este foro es orientar al usuario como un favor y no como una obligación.
Yo soy de los que dan puntos por aporte :D |