Que conste que estoy de acuerdo con lo de mysql_real_escape_string , simplemente se me olvido ponerlo.
pateketrueke no estaria mal que cambies tu forma de "hablar" y no mostrar respeto ante la gente y llamarles de todas las formas posibles. No tienen ni "una mentalidad simple" ni al parecer han llegado a un nivel para que sepan que es el PDO ... Tu a veces tambien dices cosas que no son correctas, pero no veo a nadie deciendote que te actualices o "I have no idea what i'm doing"
Nadie dijo que htmlspecialchars es para evitar sql injection pero prefiero hacer un insert con htmlspecialchars que 10000000 selects con el :@
Cita: En tu caso sería mysql_real_escape_string()
Si vamos a hablar de cosas que pueden pasar o que pudieran estar mejor ... deberias de saber que mysql_real_escape_string() tiene sus problemas y vulnerabilidades.
( NO digo que es peor que addslashes , yo uso PDO , asi que no uso ninguno )
Es verdad que esta bien usar mysql_real_escape_string() , pero si tenemos que ser justos , eso tampoco te protege del todo. No todo depende de si escapas 5 chars.
Yo ya se por que es mejor usar mysql_real_escape_string, ante addslashes ( que por cierto to tiene nada que ver con htmlspecialchars y trim ) pero podrias explicar el porque ... y no solo decir que esta mal, y venga a hablar mal de que la gente se tiene que actualizar. Si tu tienes una consulta asi:
Código PHP:
$query = mysql_query("SELECT * FROM table WHERE id=$id");
igual dara que hagas 234892304 mysql_real_escape_string , addslahes etc.
Bueno me voy a trabajar, saludos.