mysqli_real_escape_string() mysqli procedimientos escapar string

Lo primero de todo hay que crear una conexión mediante mysqli por procedimientos.

Este paso se explica en el siguiente artículo:

Crear conexión mysqli por procedimientos

Ahora usaremos la función mysqli_real_escape_string() para escapar caracteres especiales de una cadena mediante el modo procedimental.

Los caracteres escapados son: NUL (ASCII 0), \n, \r, \, ‘, «, y Control-Z.

Básicamente controlar lo que vamos a ejecutar en una sentencia SQL nos beneficia en dos aspectos importantes:

Evitar errores de base de datos, ya que en muchos casos los usuarios introducen cadenas con caracteres especiales como comillas simples (apostrofes) y esto provoca una fallo en la acción

Inyección SQL: es recomendable crear medidas de seguridad para que no puedan intencionadamente operar sobre nuestra base de datos.

La variable $link indica el objeto conexión y las variable $usuario la cadena a escapar.

mysqli_real_escape_string($link, $usuario);

Por ejemplo si relleno la variable $usuario con la cadena iván'iv, el resultado será ivan\'iv, por lo tanto vemos que ha incluido antes de la comilla simple una barra invertida \.