Ver Mensaje Individual
  #10 (permalink)  
Antiguo 18/08/2012, 22:06
Avatar de Triby
Triby
Mod on free time
 
Fecha de Ingreso: agosto-2008
Ubicación: $MX->Gto['León'];
Mensajes: 10.106
Antigüedad: 16 años, 2 meses
Puntos: 2237
Respuesta: [APORTE] Sistema de Noticias y Comentarios Con MYSQLI

Cita:
Iniciado por PepeF
mysqli_real_escape_string Esto que hace?
Te permite incluir caracteres dentro de un campo que, de otra forma, generarían error en la consulta o permitirían a otros usuarios abusar de la falta de seguridad de tu script, por ejemplo, supongamos que tu consulta es:

INSERT INTO usuarios SET nombre = '$nombre'

Sin mysqli_real_escape_string y con los siguientes valores para $nombre:

"James O'Neal" - La comilla simple generará un error de sintáxis... por cadena no terminada
"Triby'; UPDATE usuarios SET admin = 1 WHERE nombre = 'Triby'; '" - Se inserta el usuario y, de paso, obtiene permisos de administrador... claro, tus tablas pueden tener otra estructura, pero es sólo un ejemplo para que veas la fragilidad de un script sin esta pequeña función.
__________________
- León, Guanajuato
- GV-Foto