Ver Mensaje Individual
  #1 (permalink)  
Antiguo 15/12/2010, 11:18
Lechu_
 
Fecha de Ingreso: enero-2010
Mensajes: 128
Antigüedad: 14 años, 5 meses
Puntos: 2
consulta escapar cadena

Hola.

Tengo una duda con estas lineas de codigo. Quiero escapar la cadena antes de guardar lo datos en la base.
Las variables $_POST, tienen algun dato introducido por el usuario.
Si solo uso mysql_real_escape_string(), no escapa la cadena, pero si uso addcslashes(), la cadena se escapa sin problemas

¿Porque pasa eso?
¿Es correcto el uso de las funciones planteado como asi?

Código:
$query= sprintf("INSERT INTO usuarios (nom_us, ape_us, nick, pass, email_us, nivel) VALUES('%s', '%s', '%s', '%s', '%s', '%d')", 
	//addcslashes, muestra una barra invertida antes de las caracteres definidos en el segundo parametro de esta función. 
	addcslashes(mysql_real_escape_string($_POST['nom_us']),'%_'),
	addcslashes(mysql_real_escape_string($_POST['ape_us']),'%_'),
	addcslashes(mysql_real_escape_string($_POST['nick_us']),'%_'),
	addcslashes(mysql_real_escape_string($_POST['pass_us']),'%_'),
	addcslashes(mysql_real_escape_string($_POST['email_us']),'%_'),
	$config['nivel']
	);