I'm with a question with a function to prevent SQL injection:
public function f_LIMPIARINPUT($a_variable) {
$valor = $a_variable;
$valor = str_ireplace("SELECT", "", $valor);
$valor = str_ireplace("FROM", "", $valor);
$valor = str_ireplace("TABLE", "", $valor);
$valor = str_ireplace("COUNT(*)", "", $valor);
$valor = str_ireplace("(", "", $valor);
$valor = str_ireplace(")", "", $valor);
$valor = str_ireplace("INSERT", "", $valor);
$valor = str_ireplace("INTO", "", $valor);
$valor = str_ireplace("VALUES", "", $valor);
$valor = str_ireplace(",", "", $valor);
$valor = str_ireplace("COPY", "", $valor);
$valor = str_ireplace("DELETE", "", $valor);
$valor = str_ireplace("DROP", "", $valor);
$valor = str_ireplace("DUMP", "", $valor);
$valor = str_ireplace(" OR ", "", $valor);
$valor = str_ireplace("%", "", $valor);
$valor = str_ireplace("LIKE", "", $valor);
$valor = str_ireplace("--", "", $valor);
$valor = str_ireplace("^", "", $valor);
$valor = str_ireplace("[", "", $valor);
$valor = str_ireplace("]", "", $valor);
$valor = str_ireplace("\", "", $valor);
$valor = str_ireplace("!", "", $valor);
$valor = str_ireplace("¡", "", $valor);
$valor = str_ireplace("?", "", $valor);
$valor = str_ireplace("=", "", $valor);
$valor = str_ireplace("&", "", $valor);
$valor = str_ireplace("'", "", $valor);
$valor = str_ireplace("AND", "", $valor);
$valor = str_ireplace("IS", "", $valor);
$valor = str_ireplace("NULL", "", $valor);
$valor = str_ireplace(";", "", $valor);
$valor = str_ireplace("C:fakepath", "", $valor);
return $valor;
}
Do you think it could be this way?