Ver Mensaje Individual
  #9 (permalink)  
Antiguo 08/09/2011, 11:17
nocturnoa
 
Fecha de Ingreso: septiembre-2011
Mensajes: 16
Antigüedad: 13 años, 3 meses
Puntos: 4
Respuesta: Evitar Inyección SQL en campos de texto

mysql_set_charset(CODIFICACION,$conexion);
if(get_magic_quotes_gpc()==1)
$query="insert into noticia values(null,'$titulo','$cuerpo','$foto','$fecha',' $tipo','$usuario')";
else
$query = sprintf("insert into noticia values(null,'%s','%s','$foto','$fecha','$tipo','$u suario')",mysql_real_escape_string($titulo),mysql_ real_escape_string($cuerpo));

supongamos que meto en cuadro de texto titulo esto ');select * from noticia;

imprimiria una ves abierta la noticia esto : ');select * from noticia;