Duda función mysql_real_escape_string

Chechux · #1 (**permalink**) 02/12/2008, 10:08

Buenas tardes,

Tengo una duda sobre esta función. ¿Se aplica para escapar los caracteres de control al insertar datos a una base de datos, o se aplica también para consultas?

Y por otro lado, tengo una base de datos donde estoy insertando datos actualmente mediante la función addslashes (se están incorporando con barras invertidas delante de comillas, etc), si uso mysql_real_escape_string pasa lo mismo?

Gracias y un saludo.

GatorV · #2 (**permalink**) 02/12/2008, 10:49

Asi es, debes de ocupar solamente una de las funciones, y aplicalo solo sobre los valores, no sobre la consulta completa, o terminaras mal formando tu Consulta SQL.

Saludos.

Chechux · #3 (**permalink**) 02/12/2008, 10:52

Uhmmm muchas gracias, pero un par de preguntas, como que sólo sobre los valores?

Y cual viene mejor para insertar datos a una base de datos?

Gracias y un saludo.

Acron_0248 · #4 (**permalink**) 02/12/2008, 11:05

Cuando habla solo a los valores se refiere a esto:

Código PHP:

  $usuario = mysql_real_escape_string($_POST['usuario']); 
 
$mesaje = mysql_real_escape_string($_POST['mensaje']); 
 
mysql_query("INSERT INTO table (Usuario, Mensaje) VALUES ('$usuario', '$mensaje')");

Como ves, solo se están escapando los valores, no toda la consulta.

Sobre la otra pregunta, si te refieres a cual es mejor entre addslashes y mysql_real_escape_string, la mejor es mysql_real_escape_string