He encontrado un post donde lo explica muy bien y da soluciones. Dan como solución este recurso:
1º Crear un script PHP independiente con el siguiente contenido:
Código:
<?
// Evitamos la inyeccion SQL
// Modificamos las variables pasadas por URL
foreach( $_GET as $variable => $valor ){
$_GET [ $variable ] = str_replace ( "'" , "'" , $_GET [ $variable ]);
}
// Modificamos las variables de formularios
foreach( $_POST as $variable => $valor ){
$_POST [ $variable ] = str_replace ( "'" , "'" , $_POST [ $variable ]);
}
?>
2º Incluir en todas las páginas que se utilice el método $_GET Y $_POST estas líneas:
Código:
<?
// Evitamos la inyeccion SQL
include 'inyeccion.php' ;
//
// Contenido de la página PHP
//
?>
Podrían decirme si es válido para evitar la inyección de código? Gracias.