Cita:
Iniciado por Sourcegeek 
Buen aporte, sólo que deberías 'ampliar' un poco la protección que ofrece clean_var. Por ejemplo, para inyecciones del tipo:
Código SQL:
Ver original1 AND 1=0 UNION SELECT TABLE_NAME,NULL FROM informacion_schema.TABLES
De ahí en más, buen aporte!
Bueno, la verdad es que lo hice sencillito para la gente, pero efectivamente me di cuenta que la seguridad era mejorable.
Más simple usando expresiones regulares.
Código PHP:
function clean_var($var=''){
$con = new DBconnection;
if ($con->connect())
return mysql_real_escape_string(trim(preg_replace("/[^a-z0-9]/","",$var)));
}
Saludos
