Buenas, tengo una funcion para evitar el sql injection que aplico en los valores que introduce el usuario en formularios y demás.
Es esta:
Código PHP:
function sql_quote($valor)
{ if(get_magic_quotes_gpc())
{$valor = stripslashes($valor);}
//comprueba si existe la función
if(function_exists("mysql_real_escape_string"))
{$valor = mysql_real_escape_string( $valor );}
//para las versiones < 4.3.0 de php usamos addslashes
else {$valor = addslashes($valor);}
return $valor;}
Antes de nada me gustaria saber si es válida o si habria que usar alguna otra más completa... nunca me quedo tranquilo con la seguridad.
Entonces, tengo un panel de comentarios en los que los usuarios pueden dejar comentarios. Pero claro, está la cosa de los simbolos raros y demás... ahora aplico la funcion sql_quote al comentario, pero no me acepta por ejemplo el signo "¿".
Mi duda es como hacer que esto sea funcional pero que el usuario pueda escribir con normalidad y dejar mensajes comunes sin tener que modificarle el mensaje siempre que este sea correcto...
Un saludo.