Utilizar comilla simple en MYSQL

Hola, gente... hace mucho tiempo que no escribo...

Bueno aquí les traigo un nuevo artículo, el cual pretende ayudar a las personas que necesiten realizar consultas SQL al servidor MYSQL, que contengan una coimilla simple.

Normalmente una sentencia SQL se hace de esta forma:

ejemplo.php

<?php include("config.php"); //Este archivo es el encargado de realizar la conexion al servidor y a la base de datos. $vCampo1 = $_POST['txtCampo1']; $vCampo2 = $_POST['txtCampo2']; $sql = mysql_query("INSERT INTO tabla (Campo1, Campo2) VALUES ('".$vCampo1."', '".$vCampo2."')") or die (mysql_error()); ?>

Nuestro HTML de ejemplo seria así:

index.html

<html> <head><title>HTML</title></head> <body> <form name="frmEjemplo" method="post" action="ejemplo.php"> <input type="textbox" name="txtCampo1" /> <input type="textbox" name="txtCampo2" /> <input type="Submit" name="cmdEnviar" value="Enviar Ejemplo" /> </form> </body> </html>

Si el usuario digitara en cualquiera de los campos del HTML algo que contenga una comilla simple ', el sitio devolvería un error, esto se debe a que en SQL la comilla simple es utilizada para delimitar las sentencias, y si enviamos una comilla extra, terminaríamos la sentencia SQL de forma errónea en el servidor.

Según esto es que surge el SQL Inyection, se dice que hackers o gente con experiencia puede aprovecharse de esta desventaja para dañar sitios web.

Por ejemplo:

Tomando como ejemplo el código SQL que les escribí anteriormente la sentencia seria leída por el servidor de esta forma:

Al digitarse una comilla simple ' la sentencia seria así:

INSERT INTO tabla (Campo1, Campo2) VALUES ('Ejemplo' 1', 'Ejemplo 2')

Bueno para no cansarlos con el cuento, existen muchas formas de evitar esto, dependiendo del servidor de base de datos podríamos usar Procedimientos Almacenados, o simplemente reemplazar la comilla por otro carácter.

$vCampo1 = str_replace("'", '\\\'', $vCampo1 );