Tema: Donde debo insertar mysql_real_escape_string en mi código fuente
Ver Mensaje Individual
  #3 (permalink)  
Antiguo 03/11/2010, 14:36
Avatar de mayid
mayid
Colaborador
  
Fecha de Ingreso: marzo-2009
Ubicación: BsAs
Mensajes: 4.014
Antigüedad: 15 años, 1 mes
Puntos: 101
Respuesta: Donde debo insertar mysql_real_escape_string en mi código fuente
A cada variable POST tenes que limpiarla. A todas. Tambien a las numericas. Yo hoy dia tengo esta funcion que uso para todo tipo de valores de formulario:

Código PHP: 
Ver original
  1. /* Limpiar cadenas de texto */  
  2. function limpiar($texto, $numerico = false){
  3.     
  4.     if ($numerico)
  5.         if (is_numeric($texto))
  6.             return $texto;
  7.         else die("Este dato debiera ser numerico: ".fixEncoding(trim(strip_tags($texto)))); 
  8.         
  9.     else
  10.         return mysql_real_escape_string(fixEncoding(trim(strip_tags($texto))));
  11. }

La de fixEncoding corrige el charset de ser necesario, pero tambien es una funcion creada.

En fin, haces limpiar($_POST['variable']);