mysqli_real_escape_string() mysqli procedimientos escapar string

Lo primero de todo hay que crear una conexión mediante mysqli por procedimientos.

Este paso se explica en el siguiente artículo:

Crear conexión mysqli por procedimientos

Ahora usaremos la función mysqli_real_escape_string() para escapar caracteres especiales de una cadena mediante el modo procedimental.

Los caracteres escapados son: NUL (ASCII 0), \n, \r, \, ‘, «, y Control-Z.

Básicamente controlar lo que vamos a ejecutar en una sentencia SQL nos beneficia en dos aspectos importantes:

  • Evitar errores de base de datos, ya que en muchos casos los usuarios introducen cadenas con caracteres especiales como comillas simples (apostrofes) y esto provoca una fallo en la acción
  • Inyección SQL: es recomendable crear medidas de seguridad para que no puedan intencionadamente operar sobre nuestra base de datos.

  • La variable $link indica el objeto conexión y las variable $usuario la cadena a escapar.

    mysqli_real_escape_string($link, $usuario);
    
    Por ejemplo si relleno la variable $usuario con la cadena iván'iv, el resultado será ivan\'iv, por lo tanto vemos que ha incluido antes de la comilla simple una barra invertida \.

    Iván Martínez

    Ingeniero Informático apasionado por el mundo del desarrollo WEB. Me gusta caminar por este mundo lleno de tecnologías y día a día aprender cosas nuevas como el doctor Frankenstein ¡dadme cosas para experimentar!

    Deja un comentario

    Tu dirección de correo electrónico no será publicada.