Tema: Clase MYSQL e Inyecciones
Ver Mensaje Individual
  #8 (permalink)  
Antiguo 24/05/2011, 02:12
Avatar de historiasdemaria
historiasdemaria
 
Fecha de Ingreso: septiembre-2010
Ubicación: www
Mensajes: 433
Antigüedad: 14 años, 1 mes
Puntos: 54
Respuesta: Clase MYSQL e Inyecciones
Para evitar inyecciones SQL:
Si no usas PDO en tu clase puedes tener un metodo asi:

Código PHP: 
Ver original
  1. function static quote_smart($value)
  2. {
  3. // Stripslashes
  4. if (get_magic_quotes_gpc()) {
  5. $value = stripslashes($value);
  6. }
  7. // Ver si es numerico
  8.  
  9. if (!is_numeric($value)) {
  10. $value = "'" . mysql_real_escape_string($value) . "'";
  11. }
  12. return $value;
  13. }

este metodo debes llamarlo en las SQL queries

"SELECT * FROM lo_que_sea WHERE id=".SQL::quote_smart($value);