Foros del Web - Ver Mensaje Individual

rodrigo791 · #1 (**permalink**) 15/09/2012, 14:46

Buenas, mi duda es si está bien hecho esto así, ya que uso las 2 funciones una para convertir a entidades html los caracteres como <, >, etc, y otra función para escapar de los caracteres que podrían afectar la consulta SQL.

No tengo problemas con esto, solo quiero saber que piensan de usar las 2 así, he estudiado la otra función muy parecida a htmlspecialchars() que es htmlentities() y creo que no me veo obligado a usarla, creo que con htmlspecialchars() está todo mas que bien.

Código PHP:

Ver original<?php
 
$conexion = mysqli_connect("localhost","root","") or die(mysqli_error($conexion)); //me conecto a servidor con extension mysqli
 
$base = mysqli_select_db($conexion,"basedeprueba") or die(mysqli_error($conexion)); //selecciono base de datos
 
 //capturo dato y aplico funciones de seguridad sql y para caracteres especiales html
$nombre = htmlspecialchars(mysqli_real_escape_string($conexion,$_POST['nombre']),ENT_QUOTES);
$apellido = htmlspecialchars(mysqli_real_escape_string($conexion,$_POST['apellido']),ENT_QUOTES);
$email = htmlspecialchars(mysqli_real_escape_string($conexion,$_POST['email']),ENT_QUOTES); 
 
$inserto = "INSERT INTO tablaprueba (nombre,apellido,email) VALUES('$nombre','$apellido','$email')"; //creo sentencia 
 
$ejecuto_consulta = mysqli_query($conexion,$inserto) or die(mysqli_error($conexion));  //ejecuto sentencia
 
mysqli_close($conexion);
 
?>

Por el momento está funcionando perfectamente, así que ya le queda para otro que quiera como aporte para la seguridad en sus proyectos.