Ciao timber per quesi consiglio sempre il controllo delle magic quotes del server.
Se i dati arrivano da post devi sapere se il server aggiunge in automatico o meno i caratteri di escaping alle stringhe in ingresso dalle requests(post o get che siano)
quindi
La funzione mysql e' piu' indicata per evitare injectionCodice PHP:
// ESEGUI CONNESSIONE !! serve per la funzione mysql_real_escape...
// poi
if( get_magic_quotes_gpc() )
{
$val = stripslashes($val) ;
$val = mysq_real_escape_string($val);
}
Ovviamente dopo poi ncapsulare questo esempio in funzione e usare la funzione ove sia necessario "sanitanizzare" una o piu' stringhe di testo
Rispondi quotando