Tema: no logro hacer funcionar mysql_real_escape_string
Ver Mensaje Individual
  #1 (permalink)  
Antiguo 21/02/2012, 15:33
KevinVG
 
Fecha de Ingreso: febrero-2012
Mensajes: 8
Antigüedad: 13 años, 8 meses
Puntos: 0
De acuerdo no logro hacer funcionar mysql_real_escape_string
he leido y leido y leido por internet acerca de el tema de evitar injeccion MySQL.
y veo que hay que usar el mysql_real_escape_string y no logro hacerlo no me da la cabeza
pero no entiendo donde tengo que meter esa funcion o en que forma..
aqui dejo un formulario y el codigo php para meter los datos en la base de datos
si alguien es tan amable de darme una idea en que parte del codigo deberia poner la funcion mysql_real_escape_string o en que forma ponerla o algo lo agradeceria mucho.


Código HTML: 
Ver original
  1. <form method="post" action="insertarenbase.php">
  2.        Nombre:<input type="text" name="nombre">
  3.            e-mail:   <input type="text" name="email">
  4.            País:      <input type="text" name="pais">
  5. </form>
Código PHP: 
Ver original
  1. <?php
  2. $conexion = mysql_connect("localhost","root","");
  3. $seleccionar_bd = mysql_select_db("pruebas", $conexion);
  4. $nombre = $_POST['nombre'];
  5. $pais = $_POST['pais'];
  6. $email = $_POST['email'];
  7. $insertar = mysql_query("INSERT INTO paraguard (nombre, pais, email) VALUES ('$nombre', '$pais', '$email')");
  8. mysql_close($conexion);
  9. header('Location: index.html');
  10. ?>