Hola estimados,
En qué línea debo agregar mysql_real_escape_string() para protegerme de un posible ataque de SQL Injection?:
Yo lo tengo así para una consulta que trae datos de unos GET[]:
......................
$cod1 = $_GET['cod1'];
$cod2 = $_GET['cod2'];
require("conectar.php");
$codigo1 = mysql_real_escape_string($_GET['cod1']);
$codigo2 = mysql_real_escape_string($_GET['cod2']);
$consulta = mysql_query("SELECT * FROM codigos WHERE cod = '$codigo1'");
while($resultado = mysql_fetch_array($consulta))
......................
Está bien la utilización del mysql_real_escape_string?. Me pueden dañar mi sitio?.
Aclaro que sólo lo uso para consulta; las altas, modificaciones y eliminaciones las hago directamente desde phpmyadmin.
Muchas Gracias de antemano!.