mysql_real_escape_string AYUDA!!!

zerpico_01 · #1 (**permalink**) 08/02/2010, 16:17

hola a todos bueno uso el mysql_real_escape_strin para proetegerme ante injections para ello uso el siguiente codigo

Cita:

$sql_mostrar=sprintf("select * from articuletos where arti_id='%s'",stripslashes(mysql_real_escape_strin g($arti_id)));

hasta ahi todo bien, pero ahora no tengo ni la menor idea de como emplear algo similar para la siguiente consulta:

Cita:

$busco_sql="select * from tabla_busqueda a,nombre_u b where a.estado='logyn' and a.metodo='pago' and a.avatar!='' and a.fecha_inicio <= now() and a.fecha_baja>=now() and a.usuario_id=b.usuario_id and b.mostrar_datos='si' order by rand() limit 0,1 ";
$busco_res=mysql_query($busco_sql);
$busco_rows=mysql_num_rows($busco_res);

como se puede usar mysql_real_escape_string con esto

saludos!!

pateketrueke · #2 (**permalink**) 08/02/2010, 17:01

Cita:

Iniciado por zerpico_01

[...] como se puede usar mysql_real_escape_string con esto

[...]

se usa empleando el sentido común, vamos.... siendo algo tan genérico no entiendo la dificultad...

zerpico_01 · #3 (**permalink**) 08/02/2010, 17:16

pues francamente no entiendo como meterlo en ese codigo pateketrueke

ya no doy mas realmente la consulta hace un ralid y no me aclaro como hacerlo pue:

primero antes de mostrar la imagen y dato de un usuario debo saber primero

nombre usuari luego si esta logueado luego si es por pago o gratis, luego si tiene avatar, luego la fecha o si ha sido dado de baja....

pero este archivo es imposible de proteger via urls, ya que se muestra en un iframe, asi que tengo que filtrar la informacion antes de la consulta eso ya lo he logrado lo que no se es como meter mysql_real_escape_string por que no son variables

son nombres de la tablas de la DB ....
y cada tabla lleva un resultado pero no logro hacer que funcione con mysql_real_escape_string ...

podrias darme un ejemplo simple de tu sentido comun con la consulta en cuestion

saludos !!

pateketrueke · #4 (**permalink**) 08/02/2010, 17:36

a ver, piensa bien lo que estas diciendo...

si la consulta $busco_sql no utiliza variables entonces es segura... no necesitas escapar nada de nada... vamos, que solo debes escapar las variables cuando son utilizadas en los string de tu consulta...

si la consulta la escribes manualmente, osea, que no se ve afectada por variables externas... ¿donde esta el problema??

Cita:

Iniciado por zerpico_01

[...] podrias darme un ejemplo simple de tu sentido comun con la consulta en cuestion

[...]

yo por eso digo que tu problema es conceptual, y de plano, he ahí donde careces de criterio y sentido común...

zerpico_01 · #5 (**permalink**) 08/02/2010, 17:57

creo que mejor me vo a dormir....
gracias amigo por la ayuda!!
con razon no podia hacerlo funcionar!!

voy probar ese framework!! descargado!!!
saludos!