addslashes, mysql_real_escape_string o similare

mateo_disseny · #1 (**permalink**) 13/03/2012, 03:06

Buenas!

Os explico, tengo un formulario que funcionaba correctamente. Cogia los datos y los grababa en la base de datos. Testeándolo he descubierto que hay una serie de símbolos (comillas simples) que cuando doy a guardar en la base de datos me da error. Yo pensaba que era un error de javasccipt pero después de preguntar en ese foro maycolalvarez me ha dicho "lo que necesitas en PHP es escapar los caracteres especiales, utilizando para ello addslashes, mysql_real_escape_string o similares". Lo he estado intentando y no hay manera...alguien me puede ayudar?

El código en cuestión:

Código HTML:

<form action="ofertas.php" method="post" enctype="multipart/form-data" id="form_oferta_add">
    <input type="hidden" name="option" value="add" class="hidden" />

    <div class="imagen_oferta">
        <img src="<?php echo ADMIN_IMAGEN_DIR;?>/no-foto.gif" alt="" width="86" height="80" />
        <a href="#fichero" id="add_img_link" class="boton">a&ntilde;adir imagen</a>
    </div>

    <div style="display:none;">
        <div id="fichero">
            <p><input type="file" name="imagen" /></p>
            <p><a href="#" id="aceptar_imagen" class="boton">aceptar</a></p>
        </div>
    </div>

        <div class="campos_form">

            <div class="fila_form botones_idiomas">
                <span class="selected_idioma">ES</span>
                <span>CA</span>
                <span>EN</span>
                <span>FR</span>
            </div>
            <div id="pesta_idiomas">
                <?php foreach($aIdiomas as $idioma){?>
                <div class="form_idiomas" id="campos_<?php echo $idioma['sub']?>">
                    <div class="fila_form">
                        <label for="titulo_<?php echo $idioma['sub']?>">T&iacute;tulo (<?php echo $idioma['sub']?>)</label>
                        <input type="text" name="titulo_<?php echo $idioma['sub']?>" id="titulo_<?php echo $idioma['sub']?>" value="" />
                    </div>
                    <div class="fila_form">
                        Descripci&oacute;n (<?php echo $idioma['sub']?>)
                    </div>
                    <div class="fila_form">
                        <label for="descripcion1_<?php echo $idioma['sub']?>">L&iacute;nea 1</label>
                        <input name="descripcion1_<?php echo $idioma['sub']?>"id="descripcion1_<?php echo $idioma['sub']?>" value="" />
                    </div>
                    <div class="fila_form">
                        <label for="descripcion2_<?php echo $idioma['sub']?>">L&iacute;nea 2</label>
                        <input name="descripcion2_<?php echo $idioma['sub']?>"id="descripcion2_<?php echo $idioma['sub']?>" value="" />
                    </div>
                </div>
                <?php }?>
            </div>

            <div class="fila_form">
                <label for="precio">Precio</label>
                <div><input type="text" value="" name="precio" id="precio" class="precio" /> &euro;</div>
            </div>

            <div class="fila_form">
                <label for="link_oferta">Link oferta</label>
                <div><input type="text" value="" name="link_oferta" id="link_oferta" /></div>
            </div>

            <div class="fila_submit">
                <a href="ofertas.php?option=list">cancelar</a>
                <a href="#" onclick="document.getElementById('form_oferta_add').submit();">guardar</a>
            </div>
        </div>


</form>

Muchas gracias

repara2 · #2 (**permalink**) 13/03/2012, 04:31

El filtrado que te han comentado se hace por PHP al procesar el formulario, en el código que posteas no tienes que hacer nada, sólo en PHP.

bray · #3 (**permalink**) 13/03/2012, 04:54

Hola ,

1 º el escapado de caracteres se hace en el script de destino del formulario. (ofertas.php en tu caso)

2º debees comprobar que las magic quotes esten activadas o no para hacer el "escapado" de caracteres y evitar que se escapen dos veces

¿ como se hace esto ? pues bien , puede o bien desactivar las magic quotes en el php.ini si tienes acceso a él o intentarlo con un fichero .htaccess . con el contenido

Cita:

# Desactivar magic quotes
php_value magic_quotes_gpc off

El uso del .htaccess puede no ser efectivo 100% por diferentes motivos (tu proveedor de hosting no te permite usarlos ó bien porque php da prioridad al escapado de caracteres que a la directia .htaccess) debes comprobar en cada momento si estan activas para no escapar dos veces. Yo prefiero escapar los caracteres como mysql_realscape_string() porque es mas efectiva que addslashes() asi que te dejo un script que deshace el scape automático de las magic quotes y lo rehace con dicha función.

Cita:

Código PHP:

Ver originalif (get_magic_quites_gpc()){
 $_POST['nombre_campo'] = stripslashes($_POST['nombre_campo'])
}
 $nombre_campo_escapado = mysql_real_scape_string($_POST['nombre_campo');

Te recomiendo el uso de mysql_real_scape_string() frente a addslashes() porque es una funcion especifica de mysql mas completa en el conjunto de caracteres que escapa ya que a addslashes () se le pueden colar algunos.

Algo que debes tener en cuenta de este codigo es que reduce el rendimiento de la aplicación ya que las funciones addslashes y stripslashes son funciones que no hacen un uso demasiado eficiente de la memoria en pos de la efectividad. Dejo a tu eleccion decidir el metodo que mas te guste.

Si el proyecto es de aprendizaje no debe preocuparte demasiado cual usar. Pero si es un proyecto para su publicación es imprescindible asegurar ese formulario , no solo debes escapar caracteres sql.

Un consejo rápido es que si vas a recorrer los campos del formulario usando un bucle foreach, tengas una lista de los campos reales que quieres recorrer y si el atributo name no se encuentra en esa lista, no proceses el campo

no se si me he explicado bien pero bueno, espero que por lo menos lo de la funcion de escape te haya servido.

un saludo.

mateo_disseny · #4 (**permalink**) 13/03/2012, 05:42

Buenas Bray, gracias por la ayuda.
He colocado la función que me explicas en ofertas.php
Me da un error cuando intento entrar: Parse error: syntax error, unexpected '}'
No entiendo porqué está mal el corchete y aparte es quotes en vez de quites, no?

Yo lo he puesto así:

if (get_magic_quotes_gpc()){
$_POST['form_oferta_add'] = stripslashes($_POST['form_oferta_add'])
}
$nombre_campo_escapado = mysql_real_scape_string($_POST['form_oferta_add');

No funciona...ves lo que está mal? Lo he implementado bien?

Muchas gracias por adelantado

bray · #5 (**permalink**) 13/03/2012, 06:09

si , fallo mio es get_magic_quotes_gpc().

El error que te indica es que hay una llave que de cierre que no va ahi , eso puede ser o bien porque esta de mas o bien porque hay algun parentesis, corchete o algun otro elemento que no esta bien cerrado. en este caso es en mysql_real_scape_string que no esta cerrado el corchete de $_POST['form_oferta_add']

IsaBelM · #6 (**permalink**) 13/03/2012, 06:12

le falta (;)
por otro lado no sería mas conveniente asignarselo a una variable??

Cita:

$var = stripslashes($_POST['form_oferta_add']);

aquí tiene otro error

Cita:

mysql_real_escape_string

también te puede interesar leer las notas sobre mysql_real_escape_string

bray · #7 (**permalink**) 13/03/2012, 06:20

Cita:

Iniciado por IsaBelM

le falta (;)
por otro lado no sería mas conveniente asignarselo a una variable??

aquí tiene otro error

también te puede interesar leer las notas sobre mysql_real_escape_string

si, yo también creo que seria mejor asignarlo a una variable pero me parecía mas sencillo de entender así distinguiendo entre la cadena "escapada" y la que venia del formulario.

y el nombre de la función... no tengo perdón lo he puesto mal 3 o 4 veces y de todas las formas posibles XD

mateo_disseny · #8 (**permalink**) 14/03/2012, 02:05

Buenas bray e IsaBelM, ahora me da este error.

Parse error: syntax error, unexpected T_VARIABLE

Y el código puesto es este:

Código PHP:

  if (get_magic_quotes_gpc()){
$_POST['form_oferta_add'] = stripslashes($_POST['form_oferta_add']);
}
$nombre_campo_escapado = mysql_real_escape_string($_POST['form_oferta_add']);

Si no he visto mal es por un ";" pero yo no consigo ver el error...

MUchísimas gracias

bray · #9 (**permalink**) 14/03/2012, 04:01

Hola, probando ese código a mi no me da ningún error, debe estar en otra linea

mateo_disseny · #10 (**permalink**) 14/03/2012, 10:28

Tienes razón Bray, fallo mio...el código no da error, pero sigue sin funcionarme...

Te pongo todo eñ código que hay en la página en dos mensajes, a ver si veis que hago mal, porqué a mi se me escapa! El código nuevo está prácticamente al final!

Muchas gracias

Código PHP:

Ver original<?php
ini_set('display_errors', 1);
//set_time_limit(120);
ini_set('memory_limit','512M');
 
//*********Incluir esta linea en todos los scripts**************
include($_SERVER['DOCUMENT_ROOT'].'/inicio/inicio.php');
//**************************************************************
/**
 * +-----------------------------------------------------------------------+
 * | Control de acceso a la pagina                                         |
 * +-----------------------------------------------------------------------+
 */
define ('ACCESO',PRIVADO);
include($_SERVER['DOCUMENT_ROOT'].'/inicio/islogin.php');
/**
 * +-----------------------------------------------------------------------+
 * | Include de clase y funciones                                          |
 * +-----------------------------------------------------------------------+
 */
include($_SERVER['DOCUMENT_ROOT'].'/clases/c_ofertas.php');
include($_SERVER['DOCUMENT_ROOT'].'/clases/validation_class.php');
include($_SERVER['DOCUMENT_ROOT'].'/clases/class.upload.php');
include($_SERVER['DOCUMENT_ROOT'].'/clases/c_paginacion.php');
/**
 * +-----------------------------------------------------------------------+
 * | Incialización de variables y constantes                               |
 * +-----------------------------------------------------------------------+
 */
define('BODY',TEMPLATES_ADMIN.'t_contenedor.php');
define('T_BODY',TEMPLATES_ADMIN.'t_ofertas.php');
define('T_LISTADO',TEMPLATES_ADMIN.'t_ofertas_list.php');
define('T_EDIT',TEMPLATES_ADMIN.'t_ofertas_edit.php');
define('T_ADD',TEMPLATES_ADMIN.'t_ofertas_add.php');
/**
 * +-----------------------------------------------------------------------+
 * | Declaración de funciones                                              |
 * +-----------------------------------------------------------------------+
 */
 
/**
 * +-----------------------------------------------------------------------+
 * | Inicio del programa                                                   |
 * +-----------------------------------------------------------------------+
 */
$tabla = 'ofertas';
$bAdd = false;
$aOpciones = array(
    'add' => '',
    'delete' => '',
    'edit' => '',
    'add_home' => '',
    'del_home' => '',
    );
/**
 * +-----------------------------------------------------------------------+
 * | Salida por pantalla                                                   |
 * +-----------------------------------------------------------------------+
 */
 
$opcion_menu = 'ofertas';
$body = T_BODY;
 
if(ID_USUARI!='1')
{
 
        if (isset($_GET['option']))
            $option = getValue($_GET['option']);
        if (isset($_POST['option']))
            $option = getValue($_POST['option']);
        if (!isset($option))
            $option = 'list';
 
    $ofertas = new ofertas($tabla);
 
    switch ($option)
    {
        case 'delete':
 
                        $aOpciones['delete'] = ' class="selected"';
                        $ofertas -> del(getValue($_GET['o']));
 
                        mysql_close($dao -> Link_ID);
                        header('location: ofertas.php?option=list?add_oferta=true');
                        die;
                        break;
 
        case 'edit':
 
                        $aOpciones['edit'] = ' class="selected"';
                    
            $subBody = T_EDIT;
 
            if(!empty($_POST))
            {
                                $id = getValue($_POST['id']);
 
                $old = $ofertas->get($id);
 
                $oValidador = new Validate_fields();
                $oValidador -> language = 1;//CASTELLANO
                $oValidador -> check_4html = true;
 
 
                foreach ($aIdiomas as $idioma)
                {
                                        $titulos[$idioma['sub']] = trim(getValue($_POST['titulo_'.$idioma['sub']]));
                    $oValidador -> add_text_field('Título en '.$idioma['nombre'], $titulos[$idioma['sub']], 'text', $idioma['obligatorio']);
                                        $descripciones1[$idioma['sub']] = trim(getValue($_POST['descripcion1_'.$idioma['sub']]));
                    $oValidador -> add_text_field('Descripción (Línea 1) en '.$idioma['nombre'], $descripciones1[$idioma['sub']], 'text', $idioma['obligatorio']);
                                        $descripciones2[$idioma['sub']] = trim(getValue($_POST['descripcion2_'.$idioma['sub']]));
                    $oValidador -> add_text_field('Descripción (Línea 2) en '.$idioma['nombre'], $descripciones2[$idioma['sub']], 'text', $idioma['obligatorio']);
                };
 
                                $precio = getValue($_POST['precio']);
                                $oValidador ->add_num_field("Precio ", $precio,'y');
                                $link = getValue($_POST['link_oferta']);
                                $oValidador ->add_text_field("Link ", $link,'y');
 
 
                $handle = new Upload($_FILES['imagen']);
 
                if($handle->uploaded)
                {
                                    $handle -> image_ratio_fill = true;
                                    $handle -> image_background_color = '#cccccc';
                                    $handle -> image_resize     = true;
                    $handle -> image_x          = 84;
                    $handle -> image_y          = 79;
 
                    $handle -> image_convert    = 'jpg';
                                    $handle -> jpeg_quality     = 85;
 
                                    $handle -> Process(IMAGENES);
                                    $new_name = $handle->file_src_name_body;
 
 
                                    if($handle->processed)
                                    {
                                            $imagen = $handle ->file_dst_name;
                                            $handle -> clean();
                                            $bProcesada = true;
                                    }
                                    else
                                    {
                                            $oValidador -> setError('Imatge',2,$handle->error);
                                    }
 
                }
                else

mateo_disseny · #11 (**permalink**) 14/03/2012, 10:29

Código PHP:

Ver original{
                    $imagen = $old['id_imagen'];
                }
 
 
 
                if ($oValidador -> validation())
                {
                                        $id = $ofertas -> edit($id,$titulos,$descripciones1,$descripciones2,$precio,$link,$imagen);
 
 
                    if($old['id_imagen']!= $imagen){
                                            echo "eliminar imagen";
                        @unlink(IMAGENES.$old['id_imagen']);
                    }
 
                    unset($_POST);
                    unset($titulos);
                    unset($descripciones1);
                    unset($descripciones2);
                                        unset($precio);
                    unset($link);
                    unset($imagen);
 
                    mysql_close($dao -> Link_ID);
                    header('location: ofertas.php?option=list');
                    die;
 
                }
                else
                {
                    if(isset($bProcesada)) @unlink(IMAGENES.$imagen);
 
                    $aMensaje = $oValidador -> messages;
                }
            }
            else
            {
 
                $oferta     = $ofertas->get(getValue($_GET['o']));
                                //echo "<pre>";print_r($oferta);echo "</pre>";
                $imagen     = $ofertas->get_imagen($oferta['id_imagen']);
 
                                $lang = array();
                                foreach($aIdiomas as $idioma){
                                    $lang[$idioma['sub']] = $ofertas->get_lang($oferta['id'],$idioma['id']);
                                }
                                //echo "<pre>";var_dump($lang);echo "</pre>";
 
            }
 
 
 
            break;
        case 'add':
                        $aOpciones['add'] = ' class="selected"';
                        $subBody = T_ADD;
                        $foto_oferta = false;
 
 
            if(!empty($_POST))
            {
                                //echo "<pre>";print_r($_POST);echo "</pre>";
 
                $oValidador = new Validate_fields();
                $oValidador -> language = 1;//CASTELLANO
                $oValidador -> check_4html = true;
 
 
                foreach ($aIdiomas as $idioma)
                {
                                        $titulos[$idioma['sub']] = trim(getValue($_POST['titulo_'.$idioma['sub']]));
                    $oValidador -> add_text_field('Título en '.$idioma['nombre'], $titulos[$idioma['sub']], 'text', $idioma['obligatorio']);
                                        $descripciones1[$idioma['sub']] = trim(getValue($_POST['descripcion1_'.$idioma['sub']]));
                    $oValidador -> add_text_field('Descripción (Línea 1) en '.$idioma['nombre'], $descripciones1[$idioma['sub']], 'text', $idioma['obligatorio']);
                                        $descripciones2[$idioma['sub']] = trim(getValue($_POST['descripcion2_'.$idioma['sub']]));
                    $oValidador -> add_text_field('Descripción (Línea 2) en '.$idioma['nombre'], $descripciones2[$idioma['sub']], 'text', $idioma['obligatorio']);
                };
 
                                $precio = getValue($_POST['precio']);
                                $oValidador ->add_num_field("Precio ", $precio,'y');
                                $link = getValue($_POST['link_oferta']);
                                $oValidador ->add_text_field("Link ", $link,'y');
                                
 
                $handle = new Upload($_FILES['imagen']);
 
                if($handle->uploaded)
                {
 
                                    $handle -> image_ratio_fill = true;
                                    $handle -> image_background_color = '#ffffff';
                                    $handle -> image_resize     = true;
                    $handle -> image_x          = 84;
                    $handle -> image_y          = 79;
 
                    $handle -> image_convert    = 'jpg';
                                    $handle -> jpeg_quality     = 85;
 
                                    $handle -> process(IMAGENES);
                                    $new_name = $handle->file_src_name_body;
 
                                    if($handle->processed)
                                    {
                                            $imagen = $handle ->file_dst_name;
                                            $handle -> clean();
                                    }
                                    else
                                    {
                                            $oValidador -> setError('Imagen',2,$handle->error);
                                    }
 
                }
                else
                {
                    $imagen = null;
                                }
 
                if ($oValidador -> validation())
                {
                                        $id = $ofertas -> add($titulos,$descripciones1,$descripciones2,$precio,$link,$imagen);
 
                    unset($_POST);
                    unset($titulos);
                    unset($descripciones1);
                    unset($descripciones2);
                                        unset($precio);
                    unset($link);
                    unset($imagen);
 
                    $bAdd = true;
                                        $aMensaje[0] = utf8_encode("Oferta añadida");
 
                }
                else
                {
                    $aMensaje = $oValidador -> messages;
                }
 
            }else{
                            $foto_oferta = false;
                        }
            break;
 
        case 'add_home':
                        
                        $aOpciones['add_home'] = ' class="selected"';
                        $subBody = T_LISTADO;
                        $mensaje = "";
 
                        $id = getValue($_GET['o']);
                        if(!$ofertas->add_home($id))
                            $mensaje = "&add_oferta=false";
 
                        mysql_close($dao -> Link_ID);
                        header('location: ofertas.php?option=list'.$mensaje);
                        die;
                        break;
 
        case 'del_home':
 
                        $aOpciones['del_home'] = ' class="selected"';
                        $subBody = T_LISTADO;
                        $mensaje = "";
 
                        $id = getValue($_GET['o']);
                        $ofertas->del_home($id);
 
                        mysql_close($dao -> Link_ID);
                        header('location: ofertas.php?option=list'.$mensaje);
                        die;
                        break;
 
        case 'list':
                default :
 
                        $subBody = T_LISTADO;
 
                        if(isset($_GET['add_oferta']))
                            $add_oferta = getValue($_GET['add_oferta']);
                        else
                            $add_oferta = true;
 
                        if(!intval($add_oferta))
                            $mensaje = 'Debe eliminar una oferta antes de añadir otra a la home.';
                        else
                            $mensaje = '';
 
            isset($_GET['num_pag']) ? $num_pag = $_GET['num_pag'] : $num_pag = 1;
            $elementos_por_pagina   = 3;
            $limite                 = ($elementos_por_pagina*$num_pag)-$elementos_por_pagina;
            $total_elementos        = $ofertas->get_numero_ofertas();
            $aLista                 = $ofertas->_get_lista($limite,$elementos_por_pagina);
            $num_elements           = count($aLista);
 
                        $oPaginar = new paginar();
                        $sNavega_paginas = $oPaginar -> paginacion('ofertas.php?&option=list&num_pag=%d','ofertas.php?&option=list',$total_elementos,$elementos_por_pagina,$num_pag);
 
                        break;
    }
 
}
else
{
    $body = TEMPLATES_ADMIN.'t_menu.php';
}
 
(ID_USUARI=='1') ? include(HEADER_ROOT) : include(HEADER_ADMIN);
 
if (get_magic_quotes_gpc()){
$_POST['form_oferta_add'] = stripslashes($_POST['form_oferta_add']);
}
$nombre_campo_escapado = mysql_real_escape_string($_POST['form_oferta_add'])
 
 
include(BODY);
include(FOOTER_ADMIN);
 
 
//******Incluir esta linea al final todos los scripts***********
include($_SERVER['DOCUMENT_ROOT'].'/inicio/final.php');
//**************************************************************
?>

mateo_disseny · #12 (**permalink**) 15/03/2012, 10:14

Ok, arreglado. Al final le he puesto directamente el mysql_real_scape_string a los datos recogidos del form.

Muchas gracias, me ha sido de gran ayuda vuestros comments!