mysql_real_escape_string y addslashes

andruqui · #1 (**permalink**) 20/11/2007, 17:35

buenas gente, como va ?
Una duda que me surgio.

Tengo un modulo para acceder a la base de datos y le paso consultas del tipo

Código PHP:

  "select uno, dos from tabla where dato = %d and otro ='%s' " 
 
$params[] = 5; 
$params[] = 'un string';

Le paso un array con los parametros y uso la funcion vsprintf para que me devuelva la cadena con los params sustituidos.

Antes de hacer la sustirucion recorro el array params y le aplico a cada uno la funcion
addslashes por seguridad.

La pregunta es, es mejor esta funcion o aplicarle mysql_real_escape_string ???

Saludos
Espero sus opiniones

Andres

andruqui · #2 (**permalink**) 20/11/2007, 17:39

Dejo un codigo de ejemplo:

Código PHP:

  $link = mysql_connect( ....... );

$sql = "insert into tabla set dato = %d,  otro ='%s' "

$params[] = 5;
$params[] = 'un string'; 

sql_execute( $sql, $link, $params, __FILE__, __LINE__ );

function sql_execute( $sql, $db_link, $params, $file, $line ) {
    if ($params) {
        foreach ($params as $idx => $param) {
            $params[$idx] = addslashes($param);
        }
        $sql = vsprintf($sql, $params);
    }
    mysql_query($sql, $db_link) or die('');
}

Lanselot · #3 (**permalink**) 21/11/2007, 03:21

Es mucho mejor mysql_real_escape_string

Existen vulnerabilidades que pueden explotarse usando charsets distintos al de PHP.

andruqui · #4 (**permalink**) 21/11/2007, 09:16

A alguien mas se le ocurre una sugerencia ?

Saludos
Andres

andruqui · #5 (**permalink**) 21/11/2007, 17:53

No he tenido mucho exito con mi post, alguien que tenga ganas de contar como maneja el tema de la seguridad de sus consultas ?

Saludos
Andres