Ver Mensaje Individual
  #11 (permalink)  
Antiguo 19/05/2013, 19:35
Avatar de pateketrueke
pateketrueke
Modernizr
 
Fecha de Ingreso: abril-2008
Ubicación: Mexihco-Tenochtitlan
Mensajes: 26.399
Antigüedad: 16 años, 8 meses
Puntos: 2534
Respuesta: como puedo escapar de el codigo html para que no se ejecute

Cita:
Iniciado por jor_0203 Ver Mensaje
¿y con eso escapo de inyección de sql?

según yo eso es cierto esta
pienso que es genial
La respuesta es complicada.

En teoría si "resuelves" ese problema, para a un costo absurdo, al codificar las entidades del HTML y escapar con addslahes() solo deformas la intención original de la información, es como reparar una fuga de gas con goma de mascar.

No es genial, es ridícula.

Las funciones htmlspecialchars(), addslashes() y base64_encode() sirve para otras tareas, no para las de evitar SQL-Injection, que, aunque a simple vista pareciera que si lo son en el fondo guardan mediocridad para quien si lo cree.

Para manejar todo lo relativo a base de datos existe PDO, que tiene métodos de limpieza ideales para conservar la integridad de los datos sin tener que deformarlos, sin embargo también las extensiones simples deben contar con alternativas.

En tu caso sería mysql_real_escape_string() pero de por si MySQL ya es una extensión en vías de extinción, así que no vale la pena hablar de ello.

¿Solución?

Actualiza tu forma de trabajar y no tendrás que pensar en inyecciones de SQL jamás.

Cita:
Iniciado por jor_0203 Ver Mensaje
eres un genio
¿Genio?

Si, el tuerto es Rey en el país de los ciegos.
__________________
Y U NO RTFM? щ(ºдºщ)

No atiendo por MP nada que no sea personal.