Ver Mensaje Individual
  #9 (permalink)  
Antiguo 12/06/2003, 20:24
Cluster
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 22 años, 2 meses
Puntos: 129
kech

Podrías iniciar un nuevo tema .. pero bueno .. para que empieces dos consejos:

1) Usar comillas simples cuando hagas referencias a variables de PHP:

No correcto o posible "SQL inyectión" ...
SELECT * FROM tabla WHERE campo=$algo

Usar:
SELECT * FROM tabla WHERE campo='$algo'

2) Y a la opción 1) usar:
$algo = mysql_escape_string( $algo );
antes de hacer tu query (consulta) ...

Por lo demas .. mysql_query() sólo ejecuta una sentencia SQL por línea .. así que un "SQL inyectión" típo :

algo"; DROP DATABASE mysql
(o cualquier instrucción SQL despues de ; .. no se ejecutaría ..)

Otro detalle .. la directiva magic_quote_gpc afecta a estos resultados .. Es más si está a ON (lo típico) ya se añaden los \ (caracteres de escape) a las ' (comillas simples o dobles) potencialmente peligrosas .. Pero si está a OFF .. pasaría a la sentencia SQL desde un URI o formulario (Campo) como ' y no cómo \' que es lo que hace magic_quote_gpc a ON o usando la función mysql_escape_string() e incluso addslashes() ...

Un saludo,
__________________
Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo.

Última edición por Cluster; 12/06/2003 a las 20:27