Para usar mysql_real_escape_string

hoberwilly · #1 (**permalink**) 08/01/2009, 12:55

Hola amigos,
por favor quisiera me orientaran con el uso del mysql_real_escape_string:

Código php:

Ver original<!-- <?php
session_start(); 
include('conec.php');
$link = conectarse();
$nick=$_POST['Usuario'];
$pass=md5($_POST['Password']);
if($nick==NULL|$pass==NULL)
{
    echo "<h3>Ingrese usuario y/o contraseña</h3>";
}else
{
    $sql = "SELECT * FROM usuario WHERE username='$nick'";
    $consulta= mysql_query($sql,$link,mysql_real_escape_string($nick)); -->

si estamos en lo correcto...gracias

GatorV · #2 (**permalink**) 08/01/2009, 13:14

mysql_real_escape_string solo funciona bajo las variables que quieras escapar:

Código php:

Ver original<?php
$sql = "SELECT * FROM usuario WHERE username='" . mysql_real_escape_string($nick) ."'";

Saludos.

kronenmix · #3 (**permalink**) 08/01/2009, 13:24

Sí, y además de escapar las comillas, deberias pasar un filtro anti codigo html para evitar inyección html en tu web.

hoberwilly · #4 (**permalink**) 08/01/2009, 13:27

Muchas gracias GatorV por la respuesta.
Solo un par de cosas aprovechando este post:
1. para mi caso particular aplicaria para mi variable $pass(esta cifrado)
2. de una manera entendible, precisa y si no fuera mucha la molestia podrias explicarnos con el mismo ejemplo, que significa y ocurriria el ataque de inyeccion sql

Y gracias otra vez

Por favor, si podrian ayudar para estas dos ultimas consultas...muchas gracias

GatorV · #5 (**permalink**) 08/01/2009, 15:59

1.- No necesariamente ya que la cadena MD5 no tiene caracteres que necesites escapar, pero no afecta en nada que la uses.

2.- Revisa en Google, es un tema muy amplio pero en particular es cerrar tu consulta SQL y ejecutar otra saltando tu codigo.

hoberwilly · #6 (**permalink**) 08/01/2009, 16:31

Muchas gracias GatorV, estare revisandolo