Buenos días.
estoy usando mysql_real_escape_string() para inyección de código.
Hay algún sitio donde diga un listado de todos los carácteres que escapa?
1.- En el caso de guardar un texto, por ejemplo, textarea, sería bueno usar mysql_real_escape_string($_POST('textarea'))) (pueden escribir cualquier cosa)?
2.- En el caso de hacer SELECTS con código php se debería usar por ejemplo:
Código PHP:
$listado="";
for($i=0;$i<$count($matriz);$i++){
if($i>0) $listado.=",";
$listado.=mysql_real_escape_string($matriz[$i]);
}
$sql="SELECT nombre
FROM personas
WHERE codigo IN (".$listado.");";
o el mismo con OR
Código PHP:
$listado="";
for($i=0;$i<$count($matriz);$i++){
if($i>0) $listado.=" OR ";
$listado.="codigo=".mysql_real_escape_string($matriz[$i]);
}
$sql="SELECT nombre
FROM personas
WHERE ".mysql_real_escape_string($listado).";";
Saludos