Un saludo compañeros de Foros Del Web, estoy programando un script desde hace más de dos meces y bueno estaba creando una función para un buscador y me inquieta si la función like es segura o no. Acá les doy un ejemplo de mi buscador:
Código PHP:
function secure($var, $xss = false){
global $mysqli;
$var = function_exists('magic_quotes_gpc') ? stripslashes($var) : $var;
$var = cleanInput($var);
$var = $mysqli->real_escape_string($var);
if($xss) $var = htmlspecialchars($var);
return $var;
}
$sql = $mysqli->query('SELECT p.p_id, p.p_title FROM posts AS p WHERE p.p_title LIKE \'%'.secure($_POST['busqueda']).'%\' LIMIT 10') or die($mysqli->error);
while($row = $sql->fetch_assoc()) $result[] = $row;
Ese es el código que tengo, alguien me puede decir si es seguro o alguien puede hacer una inyección Sql o burlar la seguridad de mi script¿?