función mysql_real_escape_string()

winjose · #1 (**permalink**) 24/07/2011, 13:17

Buena caballeros;
Alguien me puede decir como usar la función mysql_real_escape_string() para evitar que al insertar los valores de un formulario en una db me puedan hacer inyecciones sql.

El codigo que recoge los datos del form es este:

Código PHP:

  <?

 
    // Datos de cada equipo que se inscriba. 

    // Requerimos: Nombre capitán, apellidos, email, movil, numero de apartamento, y color de equipo.

    // Tambien pediremos los nombres, apellidos y apartamento de los 9 jugadores restantes que compongan el equipo de futbol

    $nombre1 = $_POST['nombre1'];

    $apellido0 = $_POST['apellido0'];

    $apellido1 = $_POST['apellido1'];

    $email = $_POST['email'];

    $movil = $_POST['movil'];

    $apartamento1 = $_POST['apartamento1'];

    $nombre_equipo = $_POST['nombre_equipo'];

    $color = $_POST['color'];

    $error = '';

    

    // Aqui comprobamos si el usuario ingreso los datos requeridos

    if ($nombre1 == ""){ 

        $error.="Debe ingresar el nombre del representante/capitan del equipo. <BR>\n";

    }if ($apellido0    == ""){ 

        $error.="No ha ingresado el primer apellido del representante/capitan del equipo. <BR>\n";

    }if ($apellido1 == ""){ 

        $error.="No ha ingresado el segundo apellido del representante/capitan del equipo. <BR>\n";

    }if

        ($movil != "") {

            if ((!ereg("^[0-9]{9}$", $movil) && $movil!="")||(!ereg("^[0-9]{9}$", $movil) && (strlen($movil) != 9))){

            $error.="Ingrese un numero de contacto (movil) valido. <BR>\n";

            }

    }if ($email == ""){ 

        $error.="No ha ingresado su email. <BR>\n";

       }if(ereg("[a-z0-9_.]+@[a-z0-9]+[.][.a-z0-9]+",$email)==0 && $email!=""){

        $error.="El email ingresado no es valido. <BR>\n";

    }if ($apartamento1 == ""){ 

        $error.="No ha ingresado el apartamento del representante/capitan del equipo. <BR>\n";

    }if ($nombre_equipo == ""){ 

        $error.="No ha ingresado el nombre del equipo. <BR>\n";

    }

       if ($error != ""){

    // Este es el archivo que contendra el mensaje de error

    include ("err_envio.html");

    exit;

    

    }else{

    

    //Ahora incluimos el archivo que insertará los datos en nuestra base de datos

    include ("insertar.php");

    

    

    //Redireccionamos a la pagina de proceso satisfactorio

    include ("env_sat.html");

    }

    

    

?>

El código que inserta los datos insertar.php:

Código PHP:

   $link = mysql_connect("ddd","ddd","aaaa");

        mysql_select_db("eeee",$link);

 
        // Con esta sentencia SQL insertaremos los datos en la base de datos

        mysql_query("INSERT INTO futbol (

        nombre1,apellido0,apellido1,email,movil,apartamento1,nombre_equipo,color)

        

        VALUES (

        '{$_POST['nombre1']}',

        '{$_POST['apellido0']}',

        '{$_POST['apellido1']}',

        '{$_POST['email']}',

        '{$_POST['movil']}',

        '{$_POST['apartamento1']}',

        '{$_POST['nombre_equipo']}',

        '{$_POST['color']}',)",$link);

 
        // Ahora comprobaremos que todo ha ido correctamente

        $my_error = mysql_error($link);

 
        if(!empty($my_error)) {

 
            echo "Ha habido un error al insertar los valores. $my_error"; 

 
        } else {

 
            echo "Los datos han sido introducidos satisfactoriamente";

        }

Un saludo !!!!

johhan16 · #2 (**permalink**) 24/07/2011, 13:53

Código PHP:

  VALUES (
        '".mysql_real_escape_string($_POST['nombre1'])."',
        '".mysql_real_escape_string($_POST['apellido0'])."', etc......

esa es una de las formas

postdata: revisa el manual de php

http://php.net/manual/es/function.my...ape-string.php

pues yo en si no lo hago asi y al parecer tampoco es la forma correcta ya que primero uno crea una variable y luego la coloca