Evitar sql injection

Buenas,

Despues de leer cientos de webs que hablaban del tema me quedo con el siguiente script, me gustaría que me dieséis vuestra opinión.



Os parece suficiente? cambiarias algo? nivel de seguridad del 1 al 10? xD

Gracias!

Edito: No me deja pegar el codigo php me sale un error:
Error 500 page. Change it on /errors/500.html Add more on the .htaccess file

Bueno.....hay muchas formas de evitar el injection...... basicamente tenes que escapar o eliminar las comillas, apostrofes......y demas cosas que suelan aparecer en una sentencia de MYSQL

http://www.php.net/manual/en/functio...ape-string.php

EDIT: Ya viendo tu codigo, lo unico que te digo es que no dependas de magic_quotes_gpc(). Mejor desactivalas y siempre usa addslashes o mysql_real_escape_string.

PD: Me dejo poner codigo, solo agregalo luego de haber puesto el POST usando Editar.

Acabo de pegar una imagen del código, no me dejaba poner de ninguna de las maneras.

Espero vuestros comentarios!

Así que dejarias el codigo tal cual y solo quitarias la linea

if(get_magic_quotes_gpc())

Correcto?

Otra cosa. Usa expresiones regulares, para eliminar comillas y "caracteres raros". Hay muchas funciones dando vuelta para filtrar datos...

Pero para eso ya se inventó el mysql_real_escape_string() no?

No es suficientemente válida la función expuesta arriba para evitar el sql injection?

Gracias

Interesante....... ahora por fin lo entiendo..... se cubre de varios casos.

Revisando foros... veo que algunos chequean que no se un numero la entrada.......pues.......en ese caso..... no tendria sentido hacer nada..... pero claro.... luego no se usaria el comillado simple en la consulta para envolver la variable

EDIT: je... perdon por postear una duda...... en fin...... no se porque no lo entendia.....y ahora que estoy quebrado porque vengo de bailar.... se me hizo la luz