Que usar addslashes o mysql_real_escape_string

juan007 · #1 (**permalink**) 26/02/2009, 07:15

Antes que todo agradecerles por sus comentarios y sugerencias en base a sus experiencias.

Bueno el tema es que me gustaria saber cual es mas recomendable tengo entendido que las dos opciones addslashes o mysql_real_escape_string son para evitar las inyecciones de SQL...pero cual es mas efectiva y porque.

Yo ocupo mysql_real_escape_string pero me gustaria saber cual deberia ocupar de las dos sus ventajas y desventajas pero mas que todo en base a experiencias propias...en sus scripts.

Bueno nuevamente gracias a todos por la ayuda.

jorgivaz · #2 (**permalink**) 26/02/2009, 08:14

Aquí tienes algunos artículos:

http://blog.preinheimer.com/index.ph...pe_string.html

http://www.forosdelweb.com/f18/mysql...lashes-351775/

[INGLES]: http://bytes.com/groups/php/170306-m...-vs-addslashes

juan007 · #3 (**permalink**) 26/02/2009, 08:34

Gracias Jorgivaz por los datos que me has dado...pero mas que eso queria saber tu opinion y la de los demas usuarios sus expericias.

Por ejemplo cual ocupas tu... y porque.

Gracias nuevamente.

jorgivaz · #4 (**permalink**) 26/02/2009, 08:35

Yo utilizo addslashes, pero no por nada especial, un dia habia que elegir y probe con esa y como me funciono bien, pues es la que utilizo.

juan007 · #5 (**permalink**) 26/02/2009, 09:01

gracias compañero por comentar su experiencia...

LoveMeNot · #6 (**permalink**) 26/02/2009, 09:05

Hay que usar mysql_real_escape_string.
El motivo es que se pueden introducir algunas secuencias de caracteres, además de las archiconocidas comillas -de lo único que se ocupa addslashes, además de las propias barras- que pueden permitir inyectar código.

El escenario concreto en que eso es posible lo desconozco, pero la motivación para usar mysql_real_escape_string es esa.

juan007 · #7 (**permalink**) 26/02/2009, 09:21

Gracias LoveMeNot por tu datos....al parecer lleva un punto mysql_real_escape_string.

Asumo que tu ocupas mysql_real_escape_string.

Gracias nuevamente.

nicolaspar · #8 (**permalink**) 26/02/2009, 09:48

Juan, lo correcto es usar mysql_real_escape_string, igual te aclaro que son cosas distintas.

Si su uso es para escapar un input string para usarlo en sobre una llamada a MYSQL lo mejor es controlar todo posible caracter que rompa la consulta (\x00, \n, \r, \, ', " y \x1a).

Leete esto: http://ar.php.net/manual/es/security...-injection.php

Ahora, si lo que necesitas es solo escapar comillas, ahí si usá addslashe().

juan007 · #9 (**permalink**) 26/02/2009, 11:06

Gracias nicolaspar por el dato asumo tambien que ocupas mysql_real_escape_string.

Mil gracias por comparir tu experiencia.