Foros del Web » Programando para Internet » PHP »

mysql_real_escape_string de variables unidas

 Estas en el tema de mysql_real_escape_string de variables unidas en el foro de PHP en Foros del Web. Buenas a todos, la pregunta es sencilla, es lo mismo hacer: Código PHP: mysql_real_escape_string ( $_GET [ variable1 ]); mysql_real_escape_string ( $_GET [ variable2 ]);  ...
  #1 (permalink)  
Antiguo 01/04/2009, 14:36
pr0
 
Fecha de Ingreso: marzo-2004
Mensajes: 687
Antigüedad: 20 años, 1 mes
Puntos: 28
De acuerdo mysql_real_escape_string de variables unidas
Buenas a todos,
la pregunta es sencilla, es lo mismo hacer:

Código PHP:
mysql_real_escape_string($_GET[variable1]);
mysql_real_escape_string($_GET[variable2]); 
que hacer:

Código PHP:
$datos "$_GET[variable1],$_GET[variable2]";

mysql_real_escape_string($datos); 
¿es correcto?


Gracias y saludos!
  #2 (permalink)  
Antiguo 01/04/2009, 14:49
 
Fecha de Ingreso: junio-2008
Mensajes: 31
Antigüedad: 15 años, 10 meses
Puntos: 0
Respuesta: mysql_real_escape_string de variables unidas
me parece, me parece que

Código PHP:
$datos "$_GET[variable1],$_GET[variable2]";

mysql_real_escape_string($datos); 
no es correcto pq $datos no quedaria segura de injection, algo asi si:

Código PHP:
$datos "$_GET[variable1],$_GET[variable2]";

$datos mysql_real_escape_string($datos); 

igual te aconsejo que hagas algo como esto:

Código PHP:

$sql sprintf("SELECT  * 
                FROM tabla
                WHERE campo = '%s' and campo2 = '%s' "
                ,mysql_real_escape_string$variable1 ,  $conexion )
                ,mysql_real_escape_string$variable2 ,  $conexion )
            ); 
sprintf va a reemplazar los '%s' con los valores que pongas abajo ordenadamente
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta


« Tema Anterior | Próximo Tema »


La zona horaria es GMT -6. Ahora son las 02:07.