Ver Mensaje Individual
  #8 (permalink)  
Antiguo 24/05/2011, 02:12
Avatar de historiasdemaria
historiasdemaria
 
Fecha de Ingreso: septiembre-2010
Ubicación: www
Mensajes: 433
Antigüedad: 14 años, 2 meses
Puntos: 54
Respuesta: Clase MYSQL e Inyecciones

Para evitar inyecciones SQL:
Si no usas PDO en tu clase puedes tener un metodo asi:

Código PHP:
Ver original
  1. function static quote_smart($value)
  2. {
  3. // Stripslashes
  4. $value = stripslashes($value);
  5. }
  6. // Ver si es numerico
  7.  
  8. if (!is_numeric($value)) {
  9. $value = "'" . mysql_real_escape_string($value) . "'";
  10. }
  11. return $value;
  12. }

este metodo debes llamarlo en las SQL queries

"SELECT * FROM lo_que_sea WHERE id=".SQL::quote_smart($value);