Hola,

Estoy "intentando" hacer una web tirando de bases de datos y claro está, muhas veces debo consultar la base de datos´utilizando los parámetros que introduce el usuario a través de un formulario.

La cos, claro está, es que antes de crear la query de SQL quiero tratar esa cadena para evitar la famosa inyección de codigo SQL.

Por lo que he leido hasta ahora la gente habla de usar la función addslashes() o
return " ' ". mysql_espace_string ($cadena_del_formulario) . " ' "; (esto último creo que se hace de forma automática si tenemos activo magic_quotes_gpc en el php.ini

La diferencia entre la primera versión y la segunda radica en el tipo de caracrteres que escapan.

...la pregunta es...¿que haceis vosotros y como siempre xq???

Un saludo a todos