Este tema es sobre seguridad con bases de datos (SQL Injection). Siempre filtro todas las variables antes de ejecutar sentencias SQL.
Ejemplo:
Código PHP:
// filtrado de variables
$var1_filtrada = filtra($POST["variable1"]);
// ejecucion de un insert
"INSERT INTO tabla (Var1, Var2) VALUES ('$var1_filtrada', '$var2_filtrada')"
El método filtra() básicamente realiza un
addslahes.
El problema es que ahora tengo unos campos que pueden ser nulos (NULL) y poniendo como valor 'NULL' en la sentenica SQL no funciona.
Para que funcione tengo que poner los valores sin comillas: ...VALUES ($var1_filtrada, $var2_filtrada) cosa que no me parece muy segura.
¿Alguien me puede dar algún consejo al respecto? Gracias.