actualizar datos de una bd

virtualpyme · #1 (**permalink**) 19/04/2007, 10:48

Hola buenas, lo que pretendo hacer es modificar los datos de una base de datos y los nuevos datos son introducidos por formulario. Esto seria correcto?

Código:

$actualizar = "UPDATE ficha SET cnombre='$_POST["nombre"]', capellidos='$_POST["apellidos"]', empresa='$_POST["empresa"]', cif='$_POST["cif"]', email='$_POST["email"]', direccion='$_POST["direccion"]', cpostal='$_POST["codigopostal"]', poblacion='$_POST["poblacion"]', provincia='$_POST["provinica"]', pais='$_POST["pais"]', tel='$_POST["telefono"]', numtarjeta='$_POST["numerotarjeta"]', mestarjeta='$_POST["mestarjeta"]', anotarjtea='$_POST["añotarjeta"]' WHERE id='$id'";

GatorV · #2 (**permalink**) 19/04/2007, 10:55

La sentencia SQL esta bien, pero a la hora de construir tu string para enviarlo es donde tienes el problema, aparte no te recomiendo hacerlo de esta forma pues te haces vulnerable a SQL Injection, lo mas recomendable es usar, sprintf, y addslashes:

Código PHP:

  $actualizarSQL = "UPDATE ficha SET cnombre='%s' WHERE id=$id";
$actualizar = sprintf( $actualizarSQL, addslashes( $_POST['nombre'] ) );

Con eso ya queda listo tu script y protegido.

Saludos.