entre Desarrolladores

Recibe ayuda de expertos

Registrate y pregunta

Es gratis y fácil

Recibe respuestas

Respuestas, votos y comentarios

Vota y selecciona respuestas

Recibe puntos, vota y da la solución

Pregunta

1voto

Previniendo inyección SQL en consulta con PHP

Si tengo una consulta que recibe parametros de POST, de esta forma:

mysql_query("INSERT INTO tabla (columna) VALUES ('" . $_POST['user_input']; . "')");

¿Cuál es la mejor manera de evitar inyección SQL esta?

INSERT INTO tabla (column) VALUES('valor'); DROP TABLE tabla;--')

1 Respuesta

1voto

Peter Puntos150480

La mejor manera es delegarlo ya sea utilizando PDO o mysqli.

PDO:

$stmt = $pdo->prepare('SELECT * FROM table WHERE name = :name');

$stmt->execute(array(':name' => $name));
mysqli:

$stmt = $dbConnection->prepare('SELECT * FROM table WHERE name = ?');
$stmt->bind_param('s', $name);

$stmt->execute();

$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
}

Por favor, accede o regístrate para responder a esta pregunta.

Otras Preguntas y Respuestas


...

Bienvenido a entre Desarrolladores, donde puedes realizar preguntas y recibir respuestas de otros miembros de la comunidad.

Conecta