Escapar valor que no es enviado a la base de datos

Xkeeper · 15 Sep 2013

Disculpen el título, no sabía cómo describir bien esta duda...

Tengo algo así:

PHP:

$value1 = mysql_real_escape_string($_POST['input1']);
$value2 = mysql_real_escape_string($_POST['input2']);
$value3 = mysql_real_escape_string($_POST['input3']);
$value4 = mysql_real_escape_string($_POST['input4']);

mysql_query("INSERT INTO `tabla` (`value1`,`value2`,`value3`) VALUES ('$value1','$value2','$value3')");

Como verán, $value4 no es enviado a la base de datos, lo estoy usando para algo más, pero no guarda nada en la bd. ¿Es posible que me exponga a inyecciones sql si no uso mysql_real_escape_string en ese valor? Sustenten por favor.

Gracias.

shadowhck · 15 Sep 2013

Depende de como uses el valor, por ejemplo, si es solo para comparacion de datos, no tendras ningun problema.

Poka · 15 Sep 2013

Si no tiene relacion con la base de datos no tendriasbque tenrn problemas

victorvu · 15 Sep 2013

El problema puede venir si alguno de esos campos puede ser NULL

UnderD · 16 Sep 2013

Siempre es necesario hacer el "escape" a las cadenas que entran por formulario, recuerda que uno nunca sabe con qué tipo de usuario contará.

fercba · 16 Sep 2013

Hola podrias imprimir los valores para ver si se estan enviando bien todos los valores, y antes de hacer la consulta hacer un exit .

Por otro lado te recomiendo usar PDO y te olvidas de estar escapando valor x valor.
Si te interesa te dejo el enlace para que le des una leia
Sentencias preparadas Pdo.

Xkeeper · 23 Sep 2013

Gracias a todos por responder.

victorvu dijo:
El problema puede venir si alguno de esos campos puede ser NULL

¿Qué pasaría si alguno es null?

UnderD dijo:
Siempre es necesario hacer el "escape" a las cadenas que entran por formulario, recuerda que uno nunca sabe con qué tipo de usuario contará.

Sucede que uso ese valor con imagettftext, y mysql_real_escape_string modifica el texto :s

fercba dijo:
Hola podrias imprimir los valores para ver si se estan enviando bien todos los valores, y antes de hacer la consulta hacer un exit .

Por otro lado te recomiendo usar PDO y te olvidas de estar escapando valor x valor.
Si te interesa te dejo el enlace para que le des una leia
Sentencias preparadas Pdo.

Es un tema nuevo para mí, le daré una leída, gracias.

victorvu · 23 Sep 2013

Xkeeper dijo:
¿Qué pasaría si alguno es null?

Si tu base de datos acepta NULL no podes hacerlo con el insert que nos mostraste xq seria asi

$value1 = "algo 1";
$value2 = "algo 2";
$value3 = "NULL";

mysql_query("INSERT INTO `tabla` (`value1`,`value2`,`value3`) VALUES ('$value1','$value2','$value3')");

la consulta quedaria

mysql_query("INSERT INTO `tabla` (`value1`,`value2`,`value3`) VALUES ('algo 1','algo 2','NULL')");

Estas mandando un string "NULL" no NULL

Xkeeper · 24 Sep 2013

victorvu dijo:
Si tu base de datos acepta NULL no podes hacerlo con el insert que nos mostraste xq seria asi

$value1 = "algo 1";
$value2 = "algo 2";
$value3 = "NULL";

mysql_query("INSERT INTO `tabla` (`value1`,`value2`,`value3`) VALUES ('$value1','$value2','$value3')");

la consulta quedaria

mysql_query("INSERT INTO `tabla` (`value1`,`value2`,`value3`) VALUES ('algo 1','algo 2','NULL')");

Estas mandando un string "NULL" no NULL

ah gracias, para que no queden campos vacíos uso "empty", por ejemplo:

Insertar CODE, HTML o PHP:

if(!empty($_POST['value1'])) $value1 = $_POST['value1'];
else $value1= 'no hay value1';

¿Con eso estaría evitando los 'null'?