Hola!
Ya he terminado la bendita web...pero ahora he recordado que las consultas no las tengo protegidas contra SQL Injection, asi que les pido una ayuda.
Una de las más comunes de mis consultas son del tipo
Código PHP:
$fecha = date('Y-m-d');
$query = "SELECT SUM(total) as totales FROM orden WHERE fecha = '$fecha' ";
$result = mysql_query($query) or die(mysql_error());
$res_fotos = mysql_fetch_array($result);
$fotos_hechas = $res_fotos["totales"];
return $fotos_hechas;
He buscado en guguel a ver cómo es que se proteje contra eso, y he encontrado que lo mejor es usar
Código PHP:
$query = sprintf("SELECT * FROM libros WHERE autor='%s'",
mysql_real_escape_string($autor_nombre));
mysql_query($query);
Asi que me gustaría saber si, en mi ejemplo, este sería una consulta correcta y pretegida:
Código PHP:
$fecha = date('Y-m-d');
$query = sprintf("SELECT SUM(total) as totales FROM orden WHERE fecha = '%s'",
mysql_real_escape_string($fecha));
$result_mysql_query($query);
$res_fotos = mysql_fetch_array($result);
$fotos_hechas = $res_fotos["totales"];
return $fotos_hechas;
Gracias!!
Y felices fiestas :)