Cita:
Iniciado por daffyduck Bueno, gracias por el consejo de usar PDO, lo estoy tratando, pero como aun no lo domino lo suficiente voy primero a hacer seguras las consultas actuales y cuando ya acomode esto, pasare a PDO.
He encontrado esta forma de hacer mas segura la consulta mysql, ¿podria alguien decirme si es medianamente segura, o deberia de añadir algo mas?
Código PHP:
$consulta= sprintf("SELECT * FROM tabla WHERE id='%s'", mysql_real_escape_string($id));
Muchas gracias!:)
Tengo la misma duda que tu, yo realizo las consultas sin ningún tipo de seguridad, y vamos sé que en mi "miniweb" nadie se va a molestar en hacer una inyección jejejeje
Pero en futuros proyectos sé que debo de enviar las consultas lo mas seguras posibles ;)
Código PHP:
$consulta= sprintf("SELECT * FROM tabla WHERE id='%s'", mysql_real_escape_string($id));
¿Como se queda definido eso de '%s'?
¿Que pasa si en la consulta hay mas condiciones o mas selects?
Ej:
Código PHP:
$consulta= ("SELECT * FROM tabla WHERE id=$id AND email='$email'")
No se como va eso de quedar definido el '%s'
¡Que perdido estoy!