Estimados expertos:
Agradezco un poco de su atención. Estoy depurando un proyecto para evitar el XSS y SQL injection. Estoy haciendo uso de mysql_real_escape_strings (aun no utilizo PDO) para sanitizar las sentencias.
Sin embargo, cuando quiero insertar datos con sprintf marca un error al ejecutar el query. Ya revisé el encoding y collation y todo está en UTF-Spanish2-ci
El query es éste:
Código PHP:
$query = sprint("INSERT INTO valores (valor1, valor2, valor3, valor4) VALUES(%s, %s, %s, %s)", $valor1, $valor2, $valor3, $valor4);
Y éste es el resultado:
Código:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '@something.com.mx
De antemano agradezco su atención y respuesta.
Saludos
Ulises
