Tema: SOS SQL inyection
Ver Mensaje Individual
  #15 (permalink)  
Antiguo 27/01/2012, 10:36
webankenovi
Invitado
  
Mensajes: n/a
Puntos:
Respuesta: SOS SQL inyection
haber esto es para limpiar la variable de codigo

$VALOR = strip_tags(trim($_POST['VALOR']));

y para que lo entiendas te pongo un ejemplo de tu codigo

Código PHP: 
Ver original
  1. $titulo = strip_tags($_POST['titulo']);
  2.  $fecha= strip_tags($_POST['fecha']);

es decir no pasamos la variable pòst directamente a la consulta lla limpiamos y ya la añadimos a la consulta

ahora en la consulta te pongo un ejemplo de tu codigo

Código PHP: 
Ver original
  1. $ssql = sprintf("insert into peliculas (titulo,fecha) values ('%s','%s')" 
  2. ,mysql_real_escape_string(stripslashes($titulo))
  3. ,mysql_real_escape_string(stripslashes($fecha)));

y al mostrarlos igualmente

Código PHP: 
Ver original
  1. echo striptags($fila["titulo"]);

este metodo no es 100%100 seguro , hoy en dia nada es seguro pero te solucionara algun problema