Dec

Evitando SQL injection

Despues de un poco de duda y confusión :-S (Bueno, ni tanto) entre mis conocimientos, aquí les tengo una función para filtrar las cadenas antes de utilizarlas directamente en consultas SQL

[php]function sql_quote($value){ if(get_magic_quotes_gpc()) $value = stripslashes($value); //check if this function exists if(function_exists(”mysql_real_escape_string”)) $value = mysql_real_escape_string( $value ); else//for PHP version < 4.3.0 use addslashes $value = addslashes( $value ); return $value; }[/php]

Para utilizarla, solo hay que aplicarle a la cadena a filtrar la función y listo. [php]$password = sql_quote($_POST['password']); $query = mysql_query(”SELECT * FROM usuarios WHERE usuario=’admin’ AND password=’$password’);[/php]

This entry was written by Victor De la Rocha and posted on December 10, 2006 at 8:08 pm and filed under general. Bookmark the permalink. Follow any comments here with the RSS feed for this post. Post a comment or leave a trackback: Trackback URL.

2 Comments

Make A Comment

Mis Algoritmos » Blog Archive » Gestión de Errores en PHP Said:
March 9th, 2007 at 10:59 am
[...] esa horrible costumbre de chatear casi todo el día y cambiarla por programar alguna tontería (Re-Inventar la rueda obviamente puff! [...]
» Evitar Inyección SQL (II) | Solo Código | Said:
September 6th, 2007 at 3:00 pm
[...] get_magic_quotes_gpc(), que se utiliza también para el filtrado de comillas. Según propone Mis-Algoritmos aquí teneis una función para filtrar una cadena antes de emplearle en la consulta contra la base [...]

Comments RSS Feed TrackBack URL

Mis Algoritmos

Documentacion

Problemas solucionados

Sitios recomendados

Top

Evitando SQL injection

2 Comments

Leave a comment

About Me

Recent Posts

My Flickr