Foros del Web - Ver Mensaje Individual

Nemutagk · #7 (**permalink**) 27/05/2012, 01:28

mysql_real_escape_string funciona muy bien contra inyección SQL, pero tiene un defecto, si las magic_quotes están habilitadas estarias "escapando" 2 veces las comillas (sencillas y dobles) lo preferente es primero verificar si magic_quotes están habilitadas o no...

Código PHP:

Ver originalfunction sanitize($string) {
     if (function_exists('get_magic_quotes_gpc') && get_magic_quotes_gpc()) {
          if (!empty(ini_get('magic_quotes_sybase'))) {
               $string = str_replace("''", "'",$string);
          }else {
               $string = filter_var(stripslashes($string),FILTER_SANITIZE_STRING);
          }
     }
 
     return $string;
}

PD: para usar la función filter_var es necesario PHP 5.2.0 en adelante!