PreparedStatement??

stock · #1 (**permalink**) 05/06/2006, 18:29

Buenas tardes seniores!

en esta ocacion, tengo una sencilla pregunta que estoy seguro que alguno sabra la respuesta!!

ok, en JAVA existe un objeto que se llama PreparedStatement, lo que hace este es preparar una consulta, y despues ingresarle strings al query, algo asi...

Código:

PreparedStatement ps = conn.prepareStatement("SELECT * FROM tablaX WHERE nombre=? AND apellido=?");

ps.setString("pepe");
ps.setString("ramones");

ResultSet rs = ps.execeuteQuery();

ok, como ven primero se crea el string, y despues se le asignan los valores, esto es util para evitar SQLInjection.... bueno, no se si exista algo semejante en PHP.....

realmente no tengo mucha experiencia en PHP, yo soy "JAVA programer"

have funnnnn

xknown · #2 (**permalink**) 05/06/2006, 19:02

Si no me equivoco, eso está soportado recien a partir de PHP 5, pero sería mejor si comentaras que BD estás usando.

Saludos

stock · #3 (**permalink**) 06/06/2006, 10:04

hey, que tal!! googleando un poco, encontre esto...

Código:

$query = sprintf("SELECT * FROM usuarios WHERE login='%s' AND password='%s'",
	   mysql_real_escape_string($usuario),
	   mysql_real_escape_string($passwd));
	
	$rs = mysql_query($query,$conn);

ahora la pregunta es.....

es esto suficiente para evitar un SQLInjection??

have funnnnnn