guardar datos con comillas magicas

Lechu_ · #1 (**permalink**) 14/07/2010, 09:38

Hola, tengo 2 consultas:

1.- Tengo un dato que viene por POST
$_POST (pass)= Comillas_magicas ($_POST (pass))// Tengo una funcion donde aplico comillas magicas al dato

Pero cuando lo quiero guardar en la base no me aparece escapado con la barra \' sino que aparece tal cual lo ingreso en el <FORM> por ejemplo: o' donell, pese a que le aplico comillas magicas al dato, este no se me guarda asi (o/'donell) en la base.
Estoy seguro que se aplican comillas magicas porque cuando consulto el valor de $_POST (pass) = o\'donell, pero sin embargo se guarda en la base: o'donell.

Uso esta sentencia para guerdar el dato:

conectar();
mysql_query("INSERT INTO usuarios (pass) VALUES ('{$_POST['pass_us']}')");

¿Cual puede ser es el problema?

2.- Estuve viendo que su uso es obsoleto desde PHP 5.3.0, ¿debo usarlo de todas formas como medida basica de seguridad o cuando ponga mi pagina en el servidor tendre problemas en este punto?

Gracias.

abimaelrc · #2 (**permalink**) 14/07/2010, 09:41

Usa mysql_real_escape_string.

Lechu_ · #3 (**permalink**) 20/07/2010, 07:13

Hola.

Estuve con problemas y no me pude conectar.
Pero probé lo que me dijiste y use esta funcion mysql_real_escape_string().

Código:

Function escapa_cadena($cadena){
  if(get_magic_quotes_gpc() != 0) {
        $cadena = stripslashes($cadena);
    }
    return mysql_real_escape_string($cadena);
}

Pero no me funciona.
Cuando consulto la variable antes de guardarla en la base esta escapada, pero en la base no se guarda "escapada".

Ejemplo:
en p_alta_us.php proceso las variables que vienen por POST desde alta_us.php, entonces, recibo esto por POST

$_POST['nom_us']="o'donell"

entonces escapo la cadena:

$_POST['nom_us']=escapa_cadena($_POST['nom_us']);

cuando consulto el valor de $_POST['nom_us'] vale "o/'odonell", pero cuando lo guardo en la base, se guarda como "o'donell"

¿cual es el error?

Gracias.