Insertar de forma segura con sprintf

ulisespalacios · #1 (**permalink**) 29/05/2013, 09:00

Estimados expertos:

Agradezco un poco de su atención. Estoy depurando un proyecto para evitar el XSS y SQL injection. Estoy haciendo uso de mysql_real_escape_strings (aun no utilizo PDO) para sanitizar las sentencias.

Sin embargo, cuando quiero insertar datos con sprintf marca un error al ejecutar el query. Ya revisé el encoding y collation y todo está en UTF-Spanish2-ci

El query es éste:

Código PHP:

  $query = sprint("INSERT INTO valores (valor1, valor2, valor3, valor4) VALUES(%s, %s, %s, %s)", $valor1, $valor2, $valor3, $valor4);

Y éste es el resultado:

Código:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '@something.com.mx

De antemano agradezco su atención y respuesta.

Saludos
Ulises

gnzsoloyo · #2 (**permalink**) 29/05/2013, 09:09

Es OFF TOPIC de MySQL, porque sprint() y sprintf() son sentencias de PHP, no de MySQL.
Muy probablemente el contenido de una de las variables no es el que crees, o bien la acción está rompiendo el SQL por los caracteres en ella incluidos.

Verifica las variables y haz un echo con la query ya armada antes de enviarla.

Movido a PHP.