Hola que tal?
Bueno, abro este tema para, mas que nada, poder sacar una conclusion definitiva a esto.
El tema es simple: Yo tengo un formulario, lo completo, y luego lo submito asi guardo la informacion en la BD. Eso esta claro, la cosa se complica cuando yo tengo que dar seguridad a las variables, no quiero que me hagan SQL Inyection, y quiero tener la tranquilidad de que uso el metodo mas efectivo para no tener ningun "owned" en cualquier sitio que desarrolle.
He leido muchos articulos, incluso de este mismo Foro, el cual hablan de esto, pero siempre me encuentro con respuestas diferentes. Veo muchas funciones de por medio:
- htmlentities
- htmlspeciachars
- addslashes
- get_magic_quotes_gpc
- trim
- mysql_real_escape_string
- sprintf
De mi parte, al tomar una variable hago lo siguiente:
Código PHP:
$nombre = htmlspecialchars(trim(mysql_real_escape_string($_POST["variable"])));
Y para hacer cualquier consulta uso siempre sprintf.
Código PHP:
$query = sprintf("SELECT * FROM tenistas WHERE nombre='%s'",$nombre);
Yo no se si sea lo correcto, es lo que lei en muchos sitios, pero me gustaria interiorizarme mas en esto, y tratar de afianzar mis conocimientos.
Me pueden dar una recomendacion? Estare muy agradecido de verdad.
Saludos.