prevenir inyecciones en campos int? (mysql)

Es necesario usar mysql_real_escape_string() para datos int que se ingresen a mysql?

todo lo que ingrese el cliente siempre debe ser limpiado, analizado, escapado, etc.. en html puedes enviar cualquier tipo de dato aunque mucho restrinjas con html y/o javascript.

saludos!

Ok. Necesito algo más que mysql_real_escape_string()?

si es por recomendar algo seria que uses la librería PDO de php.. que limpia de forma nativa las variables.

y para el resto de casos por lo general basta con esa función.

saludos.

Te dejo un post que puse con una recomendacion extra en este tema:
http://www.forosdelweb.com/f18/como-...0/#post3504947

Gracias Hidek1 por lo de PDO. Voy a estudiarla. Se que se usa mucho en MVC.

Y gracias Vun! Buen aporte.

Ah! Pero... también hay que hacer strip_tags() no? Con eso se evitaría otro tipo de codigo malicioso (pienso en javacript).

Si el campo es un entero, entonces una manera fácil de prevenir eso es usando (int) $variable o intval($variable) :)

Ok. Si, me fui de tema, pero lo que quise decir es que para limpiar cualquier tipo de variable habría que quitar tags. Me había olvidado.

Respecto al campo int, creo que igual mysql daría error si se intentara ingresar texto o html.

pero en la injección de codigo no importa el tipo de dato que uses en mysql ya que normalmente lo que se hace es cerrar la consulta o forzar el igualado, en todo caso es que la variable que recibe php debe de ser entero y tal vez te serviría usar URL="http://www.php.net/manual/es/function.intval.php"]intval[/URL].
saludos

http://www.anieto2k.com/2007/09/10/m...intf-y-printf/


revisar :D