Sql Injection

Hola tengo una pagina donde a traves de un formulario PHP
hago INSERT y SELECT en una base de datos Mysql.

Para evitar la inyecciones SQL limite los privilegios del usuario
a INSERT y SELECT , e hice pasar el QUERY por una
Mysql_Real _Escape_String.

Es esto suficiente?
GRACIAS!

te dejo un enlace q tiene unos tips, espero q te sirva.
http://developer.yahoo.com/security/#servers
salu2

Gracias por el link. He leido este y muchos otros....

Encontre un post en el que me dan un codigo para
verificar si mi servidor tiene problemas de inyeccion:


<?
if(!isset( $_GET [ "inyeccion" ])){
header ( "location: ?inyeccion='" );
} else {
echo 'Tu servidor ' ;
if( $_GET [ "inyeccion" ] != "'" )echo 'no ' ;
echo 'tiene problemas de inyección' ;
}
?>


Al correrlo me dice que NO tengo problemas de inyeccion....

Esto quiere decir que estoy cubierto contra los ataques o
todavia debo preocuparme?

GRACIAS!

Saludos..


No ahi que ser tampoco muy paranoico con el asunto. Pienso que los primordial para evitar sql injection es tener un filtro de palabras "reservadas" de mysql para poder realizar ya sean update, select, delete, drop de variables que se envien por el metodo get. Es recomendable que trates de pasar las variables por POST.

Hasta Pronto!

Gracias Nano_,

Encontre mucha genete que me recomienda hacer esto:


<?php
// Quote variable to make safe
function quote_smart($value)
{
// Stripslashes
if (get_magic_quotes_gpc()) {
$value = stripslashes($value);
}
// Quote if not integer
if (!is_numeric($value)) {
$value = "'" . mysql_real_escape_string($value) . "'";
}
return $value;
}
?>

Lo voy a probar tambien.

Trasladado de BD a PHP. Favor no poner código de programación en BD.

Función de la sección de Base de Datos