Ver Mensaje Individual
  #2 (permalink)  
Antiguo 23/03/2012, 21:19
Avatar de gildus
gildus
 
Fecha de Ingreso: agosto-2003
Mensajes: 1.495
Antigüedad: 21 años, 4 meses
Puntos: 105
Respuesta: Impedir la inyección código en mi pagina

Holas,

Una opcion de las muchas que podria haber me imagino, es que en vez de enviar la palabra o valor de la variable "nuevo", "ascendente", "desendente", simplemente podrias enviar solo numeros o boleanos como true o false o sino 1 o 2 o 3, etc.

Si fuese numeros en el momento de recibirlos por GET o POST, podrias castearlos a que sean enteros o numeros o si fuesen boleanos que sean solo true o false y no aceptar ningun otro valor o cadena.

Te recomiento que siempre valides la cantidad de datos que recibas, que pasaria si solo recibes dos o una sola variable GET ?, habria error? o warning?.

Es bueno que uses mysql_real_escape_string, pero mejor aun te recomendaria usar el PDO. Haz intentado usar el mysqli ?, en especial en este caso mysqli_prepare:

http://php.net/manual/en/mysqli.prepare.php

Saludos
__________________
.: Gildus :.