Vamos a ver, estoy desarollando una aplicación y hay una variable GET que la uso para usa consulta SQL.

http://www.todojuegos.com/pcontrol/?accion=changever&idcli=1

Siempre limpio las variables antes de meterlas en las sentencias, pero me pasa una cosa muy rara.

Si pongo por ejemplo:
&idcli=1 // Y existe me dice que todo ok
&idcli=1211 // Error: No existe o no pertenece

Ataques:
&idcli="> // Error: No existe o no pertenece
&idcli='OR // Error: No existe o no pertenece
&idcli=% // AQUÍ LO RARO

Al poner % me sale:


Y no me mola no poder controlar ese error.

Para limpiar la variable en una sentencia SQL uso este:
mysql_real_escape_string($idcli)

Gracias :-)

El problema de eso es que haber si va a eliminar algo que no 'deba'.

Aunque muchos son numéricos (y en ocasiones fueron con un INT para que no me pase nada), quizás necesite poner por ejemplo un email y ya no funcionaría.

También me gustaría entender el error ¿Por qué sucede?.

Estoy haciendo las pruebas en un hosting 'del palo' ¿Hay alguna forma de saberlo? Tiene cPanel.

PD: Gracias.

Si quieres que acepte emails es tan fácil como hacer la función así:

function alfanumeric($string){
		$string=ereg_replace("[^A-Za-z0-9@._]", "", $string);
		return $string;
}
 

Me parece que te estás complicando más de la cuenta, para un error que puede tener una solución extremadamente fácil.