Hola
Formulario
Código:
<form action="enviar.php" method="post">
<input name=selecc[] type=checkbox value="`clasif`='a' AND `tipo`='v'" />
<input name=selecc[] type=checkbox value="`clasif`='b' AND `tipo`='c'" />
</form>
Código PHP:
if (isset($_POST['selecc']))
{
$selecc = $_POST['selecc'];
$n = count($selecc);
$i = 0;
$input="SELECT * FROM `productos` WHERE ";
while ($i < $n)
{
if($i>0){
$input.=" OR ";
}
$contensql=stripslashes($selecc[$i]);
$input.=$contensql;
$i++;
}
}
Con la variable input, se va a hacer una consulta, pero en lo que se envio desde el formulario es un fragmento de mi consulta sql, lo cual es suceptible a una inyeccion sql
Que puedo hacer para evitarlo, se me ocurre que generar un numero aleatorio y guardarlo en session, pero creo que tambien no es 100% seguro, o si aumenta la seguridad sustancialmente? o mejor con un codigo visual? que por cierto ya tengo hecho
O como le podria hacer?, para hacerlo mas seguro?
Gracias de antemano