Seguridad en URL PHP

bandolera · #1 (**permalink**) 09/11/2010, 20:19

En mi sistema aparece en la URL esta ruta de mi consulta:

Código PHP:

  http://localhost/productos.php?id=2

Si le agrego un apostrofe al final

Código PHP:

  http://localhost/productos.php?id=2'

Me muestra un mensaje de error en la ejecución del select.

Cómo puedo corregir esto?

Sourcegeek · #2 (**permalink**) 09/11/2010, 20:33

Intenta usar mysql_real_escape_string o addslashes ;)
Asi se previenen los ataques SQL

bandolera · #3 (**permalink**) 10/11/2010, 11:07

Cita:

Iniciado por Sourcegeek

Intenta usar mysql_real_escape_string o addslashes ;)
Asi se previenen los ataques SQL

Mi función inicial es:

Código PHP:

  function buscar($idProd){ 
       $query = "SELECT id_producto, id_categoria, nombre 
                 FROM   producto 
                 WHERE id_producto='$idProducto'"; 
       $BD = new ConexionDB(); 
       ..... (sigue)

He cambiado por este pero sale un error:

Código PHP:

  $query = sprintf("SELECT id_producto, id_categoria, nombre 
                 FROM   producto 
                 WHERE id_producto='%s'", mysql_real_escape_string($idProducto)); 
       echo $query;

El error que sale es:

Código PHP:

  SELECT id_producto, id_categoria, nombre FROM producto WHERE id_producto=''

Qué está mal? Encontré este código [URL="http://www.ribosomatic.com/articulos/como-evitar-sql-injection-en-nuestra-consultas-phpmysql/"]aquí[/URL]