Cita:
. El problema es que cuando pinto la query me sale una consulta sql con las barras de escape delante y la base de datos no se la traga. Alguien me puede hechar un cable? $texto=mysql_escape_string($texto) //por ejemplo
19/12/2011, 15:42
| |||
| |||
| como evitar sql injection en php? Aunque parezca que el tema va en el foro de sql es aquí donde lo posteo porque sé más o menos como habría que hacer para evitar las sql injections: escapar las comillas simples poniendo \ delante de ellas. También hay funciones que lo hacen automáticamente Cita: . El problema es que cuando pinto la query me sale una consulta sql con las barras de escape delante y la base de datos no se la traga. Alguien me puede hechar un cable? $texto=mysql_escape_string($texto) //por ejemplo |
|
19/12/2011, 15:55
| |||
| |||
| Respuesta: como evitar sql injection en php? usando mysql_escape_string está bien, y lo de las barras invertidas es normal, cuál es el problema? no termino de entender.
__________________ Páginas web de alta calidad y hechas a la medida. |
|
19/12/2011, 16:15
| |||
| |||
| Respuesta: como evitar sql injection en php? Hago la query: Cita: Le paso la función que le mete los caracteres de escape:$sql = "insert into wikiloc_idioma_fichas(id_ficha,id_idioma,titulo,de scripcion) Values ($id,44,'$titulo','$descripcion')"; Cita: La query me queda así:$sql = mysql_escape_string($sql); Cita: y al pasarlo a base de datos me da error:print_r($sql); //apareceria la query así (id_ficha,id_idioma, descripcion) Values ($id,44,\'loquesea\',\'loquesea\')"; Cita: $resultado=mysql_query($sql); |
|
19/12/2011, 16:18
| |||
| |||
| Respuesta: como evitar sql injection en php? Problemas de concatenación intenta así:
Código PHP:
Ver original
__________________ Páginas web de alta calidad y hechas a la medida. |
|
19/12/2011, 16:36
| |||
| |||
| Respuesta: como evitar sql injection en php? casi pero ahora me pinta esto: Cita: insert into wikiloc_idioma_fichas(id_ficha,id_idioma,titulo,de scripcion) Values (51363,44,Circular al macizo central (Picos de Europa) cerca de Los Llanos, Castilla y León (España),El tramo de la ruta del cares esta prohibido montar en bici) es decir que ahora le faltan las comillas simples a los textos y por lo tanto me da un error de sintaxis. Esta es la línea de código que te acabo de pintar: Cita: $sql = 'insert into wikiloc_idioma_fichas(id_ficha,id_idioma,titulo,de scripcion) Values (' . $id . ',44,' . $titulo . ',' . $descripcion . ')'; $sql=mysql_escape_string($sql); |
|
19/12/2011, 16:40
| ||||
| ||||
| Respuesta: como evitar sql injection en php? Si quieres aprender a manejar bien las comillas por tu cuenta te sugiero leer esto: http://www.forosdelweb.com/f18/como-...s-bien-588701/ Se supone que las variables debes escaparlas individualmente antes de armar la consulta, y no escapar la consulta completa. 
__________________ Y U NO RTFM? щ(ºдºщ) No atiendo por MP nada que no sea personal. |
|
19/12/2011, 16:42
| |||
| |||
| Respuesta: como evitar sql injection en php? Perdón, fue por hacerlo rápido... ahora si...
Código PHP:
Ver original recuerda leer el link que te puso pateketrueke. Un saludo!
__________________ Páginas web de alta calidad y hechas a la medida. |
| Etiquetas: |
