Utilizar mysql_real_escape_string()

Blashak · #1 (**permalink**) 20/06/2011, 10:01

Buenas,

queria saber como se utlizal la funcion mysql_real_escape_string().

Saludos

truman_truman · #2 (**permalink**) 20/06/2011, 10:08

aca te lo explican muy bien

http://www.php.net/manual/es/functio...ape-string.php

Blashak · #3 (**permalink**) 20/06/2011, 10:41

realice unas prueba segun el enlace que me pasaste y el contenido te lo guarda igual sin modificarlo.

Código PHP:

Ver original$ccontenido = "' OR ''='";
 
 
echo $ccontenido;
$con = mysql_connect("localhost", "", "") or die ("no se puede establecer la conexion con el servidor");
 
$sdb = mysql_select_db('prueba', $con);
 
$stb = sprintf("SELECT * FROM webs where Usuario = '%s'",
            mysql_real_escape_string($ccontenido));
$resultado = mysql_query($stb, $con) or die (mysql_error());
 
//este echo me printa por pantalla \' OR \'\'=\' . esto esta correcto
echo sprintf('%s', mysql_real_escape_string($ccontenido));
 
 
$sql = sprintf("INSERT INTO webs (Usuario) VALUES ('%s')",
       mysql_real_escape_string($ccontenido));
 
$resultado = mysql_query($sql, $con) or die (mysql_error());

el echo que hago despues de hacer la consulta me printa por pantalla \' OR \'\'=\' . que esto estaria correcto.

pero el insert que realizo me guarda la variable en la bd sin modificacion.
resultado bd:
' OR ''='
no tendria que guardarlo de esta manera.
\' OR \'\'=\'

ya que después cuando quiera consultar datos no estará limpio.

Saludos

truman_truman · #4 (**permalink**) 20/06/2011, 10:45

la idea es poner \ para que no te hagan inyeccion sql
pero al guardarlo se guarda como originalmente se ingresó

Blashak · #5 (**permalink**) 20/06/2011, 10:48

Cita:

Iniciado por truman_truman

la idea es poner \ para que no te hagan inyeccion sql
pero al guardarlo se guarda como originalmente se ingresó

y entonces como se tiene que hacer para que no se guarde asi??ya que es peligroso porque cuando realice consultas con un codigo asi puede...