Javascript + PHP

Fabian olmos · #1 (**permalink**) 20/10/2005, 15:05

festoy formando una sentecia sql a partir de la seleccion de los campos de una formulario. dicha sentencia la formo pero lo que sucede es que en dicha sentencia se incluye se incluyen estas "\" barras que no me deja ejecutar el sql. en php. esto es lo que estoy haciendo

javascript

function acomparar()
{
var key=window.event.keyCode;
document.frm.sentencia.value = document.frm.campo.value + document.frm.operador.value + "'" + document.frm.criterio.value + "'" ;
}

php

<?
$postform = (isset($_POST["Submit"])) ? true : false;
if($postform){
$sentencia = $_POST["sentencia"];
$sql = "SELECT * FROM notas where"." ".$sentencia ;
echo $sql;
}
?>

este es el resultado

SELECT * FROM notas where AUTOR=\'Onelkys Meza\'

como puedo quitar estas barras \ de mi sentecia.

claudiovega · #2 (**permalink**) 20/10/2005, 15:51

$sql=str_replace("\","",$sql);

Cluster · #3 (**permalink**) 21/10/2005, 05:18

También puedes usar (recomendable):

stripslashes()
http://www.php.net/manual/es/function.stripslashes.php

Y ten mucho cuidado con pasar sentencias SQL completas por el URL .. Imagina que alguien altera esa sentencia SQL.

Usa variables para definir partes de tu sentencia ..

Por ejemplo:

nose.php?buscarencampo=autor&quebuscar=valor

Y en tu script, puedes validar si "buscarencampo" está en los nombres de los campos de esa tabla a buscar, para -NO- permitir que se ingrese un dato adulterado.

Un saludo,

Tigervlc · #4 (**permalink**) 21/10/2005, 09:24

Un poco de información sobre el tema de los caracteres de escape para los caracteres especiales (comillas, etc):

Hay un comando de configuración en php.ini que se llama magic_quotes_gpc. El gpc se refiere a datos de entrada GET, POST y Cookies.

Puede tener el valor on o off. Si está a on, dentro de los datos de entrada, los caracteres especiales automáticamente se escapan con \ como parece ser tu caso.

Si está a off, es necesario escapar los caracteres especiales con addslashes("cadena"); y al recuperarlos de la base de datos se les quitan los caracteres de escape con stripslashes("cadena");

Para comprobar si magic_quotes_gpc está activado o no se usa la función get_magic_quotes_gpc(), que devuelve true si está a on y false si está a off.

De esta forma, independientemente de cómo lo dejes configurado, (yo lo dejo así: magic_quotes_gpc=off en php.ini) es recomendable SIEMPRE hacer la comprobación antes de almecenar datos de entrada:

Código PHP:

  if (!get_magic_quotes_gpc()) { 
      $cadenaDeEntrada = addslashes($cadenaDeEntrada); 
}

y esto con los datos de salida

Código PHP:

  $cadenaDeSalida = stripslashes($cadenaDeSalida);

De esta forma se evitarán esos errores en todo momento.

En los datos de salida, según se requiera, también se utiliza el filtro htmlspecialchars() que convierte los caracteres especiales de HTML en caracteres ASCII. Por ejemplo si una cadena de salida del nombre de una compañía nos tiene que dar: 'Daddy & Co.', y no deseamos que aparezca así: \'Daddy & Co.\', deberemos usar stripslashes() para quitar las secuencias de escape y htmlspecialchars() para convertir & en &.