23/07/2014, 21:41
| |||
| |||
| Evitando SQL injection Buenas muchachos(as) estoy escribiendo pero aff necesito colocar la variable $play que es el nombre de una tabla, amigos esta linea estara bien? se que no, pues le agrego el nombre manualmente y funciona perfecto pero necesito agregarle esa variable se podra o no? $qry=mysql_query("select * from '".$play."' where Codigo='".$id."'"); Agradezco su colaboracion!!! |
|
24/07/2014, 02:44
| ||||
| ||||
| Respuesta: Evitando SQL injection El control del sql-injection se hace fuera de la base. Movido a PHP.
__________________ ¿A quién le enseñan sus aciertos?, si yo aprendo de mis errores constantemente... "El problema es la interfase silla-teclado." (Gillermo Luque) |
|
24/07/2014, 03:35
| |||
| |||
| Respuesta: Evitando SQL injection Te recomiendo utilizar mysqli y mírate el bind_params que precisamente se ocupa de eso... yo siempre me apoyo con una función que tengo Cita: Esto evita la lluvia pero no el que te mojes. public static function safeParser($param){ $param = addslashes($param); //Protect with slashes $param = strip_tags($param); //Strip HTML tags $param = htmlspecialchars($param, ENT_QUOTES, 'UTF-8'); //Set the encoding for text to UTF-8 return $param; } |
|
24/07/2014, 07:03
| |||
| |||
| Respuesta: Evitando SQL injection Mmmm pues realmente soy nuevo en esto de la programcion, pero si leere un poco mas sobre mysqli y gracias, esas funciones son para evitar introducir fragmentos de codigo html etiquetas y de mas... Gracias por el aporte lo ajustare a mi codigo |
| Etiquetas: |
