[eside-ghost] Duda sencilla de PHP+MySQL

[kyle]

On Wed, Sep 06, 2006 at 02:33:15PM +0200, kyle wrote:
> On Wed, Sep 06, 2006 at 08:50:35AM +0200, Iker Perez de Albeniz - Txupete - wrote:
> > yo lo hago asi.. string+puntopara concatena+variable...
> > 
> > mysql_query("SELECT * FROM tabla WHERE id_usuario =". $id_tecleado);
> 
> eso solo funciona si $id_tecleado es un número :)
> 
> si quieres usar cadenas, tienes que quotearlas.
> 
> IMHO es buena idea primero construir la sentencia SQL y si es necesario,
> sacarla por pantalla... al final te quitas muchos problemas
> 
> $idusuario = "pepe";
> $sql="SELECT* from tabla WHERE id_usuario='{$pepe}'";
> // print $sql;
> mysql_query($sql);

ah, y antes de que se nos ocurra hacer $sql="select * from tabla where
id='{$_GET["variable_queviene_por_get_ó_post"]}'"; , acuérdate que es
necesario sanear todas las entradas para evitar ataques de SQL injection ;-)


( Lo digo para que rafa no coja los malos vicios que luego llevan a mis
clientes a decir que sus servidores SQL están mal configurados/securizados
cuando resulta que son las aplicaciones que les desarrollan terceras
empresas :-DDD )




-- 
Hoy es Domingo, 1 de Enero de 1984.