Código PHP:
$apellido=mysql_real_escape_string(strtr($apellido,'";\'/%',"11111"));
Cuando se quiera leer ese valor de la tabla se volverá a reconvertir por JAVASCRIPT el 1 por la comilla.
¿lo veis eficaz? ¿voy por buen camino?
| |||
![]() Hola, buenas, estaba pensando en un método para evitar el SQL injection, en especial para variables del tipo nombre y apellidos, se trata de lo siguiente: Código PHP: Cuando se quiera leer ese valor de la tabla se volverá a reconvertir por JAVASCRIPT el 1 por la comilla. ¿lo veis eficaz? ¿voy por buen camino? |
| ||||
Respuesta: Otro método para evitar el SQL injection Es mucho mejor en lugar de hacer trucos de ese tipo, usar prepared statements, así te evitas el problema de SQL Inyection. Lee la referencia de PDO: Prepared Statements. Saludos. |
| |||
Respuesta: Otro método para evitar el SQL injection Me he puesto a estudiar a TOPE esto del PDO, una cosilla: Antes de meter variables con el bindParam() del statement ¿"tengo que sanitizarlos"? Me refiero si le aplico el método sql_real_escape_string, htmlentities, etc.. antes de pasar la variable a la función bindparam(). Otra cosa (disculpadme, estoy aprendiendo), ¿son eficaces los filtros PHP? Como los FILTER_SANITIZE_xxxxx Muchas gracias. |
Etiquetas: |