Título: como evitar la inyeccion sql Publicado por: CICOLO_111234 en 19 Abril 2009, 16:16 pm hola!
tengo este codigo: Código: if (isset($_GET['ID'])) { y me gustaria como evitar la inyeccion sql. salu2 Título: Re: como evitar la inyeccion sql Publicado por: braulio-- en 19 Abril 2009, 18:52 pm Mira esta página:
http://informatica-practica.net/solocodigo/index.php/2007/09/06/evitar-inyeccion-sql-ii/ (http://informatica-practica.net/solocodigo/index.php/2007/09/06/evitar-inyeccion-sql-ii/) Título: Re: como evitar la inyeccion sql Publicado por: WHK en 20 Abril 2009, 01:02 am hola! tengo este codigo: Código: if (isset($_GET['ID'])) { y me gustaria como evitar la inyeccion sql. salu2 Eso tiene sql inyección ya que el addslashes solo agrega slashses a carácteres que puedan influir en la query, en este caso reemplazaría las comillas dobles y simples pero en el ejemplo que tu pusiste no se necesita una comilla para lanzar la sql inyección. Código
Para poder evitar esto necesitas encerrar el valor entre comillas y de todas formas tendrías problemas con los slashses asi que simplemente puedes utilizar mysql_real_escape_string: Código
O también: Código
Ahra si ID es un valor numérico puedes hacer: Código
O también: Código De esta forma tomará carácteres válidos y no devolverá error si realmente hay un valor numérico. |