Ver Mensaje Individual
  #3 (permalink)  
Antiguo 10/11/2010, 11:07
Avatar de bandolera
bandolera
 
Fecha de Ingreso: abril-2009
Mensajes: 613
Antigüedad: 14 años, 11 meses
Puntos: 7
Pregunta Respuesta: Seguridad en URL PHP

Cita:
Iniciado por Sourcegeek Ver Mensaje
Intenta usar mysql_real_escape_string o addslashes ;)
Asi se previenen los ataques SQL
Mi función inicial es:
Código PHP:
function buscar($idProd){
       
$query "SELECT id_producto, id_categoria, nombre
                 FROM   producto
                 WHERE id_producto='$idProducto'"
;
       
$BD = new ConexionDB();
       ..... (
sigue
He cambiado por este pero sale un error:
Código PHP:
$query sprintf("SELECT id_producto, id_categoria, nombre
                 FROM   producto
                 WHERE id_producto='%s'"
mysql_real_escape_string($idProducto));
       echo 
$query
El error que sale es:
Código PHP:
SELECT id_productoid_categorianombre FROM producto WHERE id_producto='' 
Qué está mal? Encontré este código [URL="http://www.ribosomatic.com/articulos/como-evitar-sql-injection-en-nuestra-consultas-phpmysql/"]aquí[/URL]