Ver Mensaje Individual
  #12 (permalink)  
Antiguo 20/05/2013, 02:42
Avatar de bulter
bulter
 
Fecha de Ingreso: enero-2008
Mensajes: 137
Antigüedad: 16 años, 11 meses
Puntos: 20
Respuesta: como puedo escapar de el codigo html para que no se ejecute

Que conste que estoy de acuerdo con lo de mysql_real_escape_string , simplemente se me olvido ponerlo.

pateketrueke no estaria mal que cambies tu forma de "hablar" y no mostrar respeto ante la gente y llamarles de todas las formas posibles. No tienen ni "una mentalidad simple" ni al parecer han llegado a un nivel para que sepan que es el PDO ... Tu a veces tambien dices cosas que no son correctas, pero no veo a nadie deciendote que te actualices o "I have no idea what i'm doing"
Nadie dijo que htmlspecialchars es para evitar sql injection pero prefiero hacer un insert con htmlspecialchars que 10000000 selects con el :@

Cita:
En tu caso sería mysql_real_escape_string()
Si vamos a hablar de cosas que pueden pasar o que pudieran estar mejor ... deberias de saber que mysql_real_escape_string() tiene sus problemas y vulnerabilidades.
( NO digo que es peor que addslashes , yo uso PDO , asi que no uso ninguno )
Es verdad que esta bien usar mysql_real_escape_string() , pero si tenemos que ser justos , eso tampoco te protege del todo. No todo depende de si escapas 5 chars.
Yo ya se por que es mejor usar mysql_real_escape_string, ante addslashes ( que por cierto to tiene nada que ver con htmlspecialchars y trim ) pero podrias explicar el porque ... y no solo decir que esta mal, y venga a hablar mal de que la gente se tiene que actualizar. Si tu tienes una consulta asi:

Código PHP:
$query mysql_query("SELECT * FROM table WHERE id=$id"); 
igual dara que hagas 234892304 mysql_real_escape_string , addslahes etc.

Bueno me voy a trabajar, saludos.