Consulta seguridad.

principianteZF · #1 (**permalink**) 09/04/2010, 15:47

Hola amigos.
Estoy tratando unas variables que vienen de un form de esta forma:

Código PHP:

  $variableusu =trim(strip_tags( $_POST["variableusu"]));  //quito los posibles tags html y espacios

$variableusu = strip_slashes($variableusu);            // quitar los \ antes de cada comilla 
.
.
. 
//despues cuando tengo la conexion a mysql
//previa inserción en la base.

$varibleusu = mysql_real_escape _string($variableusu);

Les quisiera preguntar si esto es suficiente o faltaría algo mas.
Con strip_slashes quito los "\" antes de las comillas, para despues ponerlos con mysql_real_escape _string, no se si esto está correcto.
Saludos.

Heli0s · #2 (**permalink**) 09/04/2010, 17:10

El codigo lo veo bien, despues otra cosa seria si sabes que esa variable no debe contener numeros, o letras, o lo que sea, dependiendo de lo que vaya a contener, pues que elimines o hagas que el usuario introduzca un dato correcto, pero con lo que tienes esta bien, ten en cuenta tambien que mysql_real_escape_string solo sirve para mysql, es una funcion de mysql.

Un saludo