Error al insertar comillas en MYSQL

sdantuoni · #1 (**permalink**) 06/07/2016, 20:26

Que tal, les comento que tengo un problema al querer insertar comillas en la base de datos. Resulta que estoy haciendo una tienda online y cuando por ejemplo en el campo descripcion tecnica pongo las pulgadas de una pantalla 10" por ej, me salia la pantalla en blanco, no salia el alert() y quedaba asi, eso pasa cuando no se ejecuto correctamente la consulta mysql, la cosa es que necesito insertar comillas, les dejo el codigo a ver si alguno sabe como se debe hacer para poder insertarlas sin problema. Saludos y gracias!!

Código PHP:

  <?php   
include "../php/conexion.php"; 
 
function aleatorio(){ 
    $an = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ"; 
    $su = strlen($an) - 1; 
    return substr($an, rand(0, $su), 1) . 
            substr($an, rand(0, $su), 1) . 
            substr($an, rand(0, $su), 1) . 
            substr($an, rand(0, $su), 1) . 
            substr($an, rand(0, $su), 1) . 
            substr($an, rand(0, $su), 1); 
} 
 
$cod = aleatorio(); 
 
$dir_subida = 'C:/xampp2/htdocs/productos_img/'; 
 
$fichero_subido = $dir_subida . basename($_FILES['foto_principal']['name']); 
$url = basename($_FILES['foto_principal']['name']); 
 
move_uploaded_file($_FILES['foto_principal']['tmp_name'], $fichero_subido); 
 
 
$fichero_subido = $dir_subida . basename($_FILES['foto1']['name']); 
$url1 = basename($_FILES['foto1']['name']); 
 
move_uploaded_file($_FILES['foto1']['tmp_name'], $fichero_subido); 
     
 
$fichero_subido = $dir_subida . basename($_FILES['foto2']['name']); 
$url2 = basename($_FILES['foto2']['name']); 
 
move_uploaded_file($_FILES['foto2']['tmp_name'], $fichero_subido); 
     
 
$fichero_subido = $dir_subida . basename($_FILES['foto3']['name']); 
$url3 = basename($_FILES['foto3']['name']); 
 
move_uploaded_file($_FILES['foto3']['tmp_name'], $fichero_subido); 
     
     
 
 
 
$sql = "insert into productos(nombre,precio,descripcion,cat,subcat,creador,marca,nuevo,destacado,img,img1,img2,img3,fecha,cod,masinfo,info_tecnica,oferta) value (\"$_POST[nombre]\",\"$_POST[precio]\",\"$_POST[desc]\",\"$_POST[cat]\",\"$_POST[subcat]\",\"$_POST[creador]\",\"$_POST[marca]\",\"$_POST[nuevo]\",\"$_POST[destacado]\",\"$url\",\"$url1\",\"$url2\",\"$url3\",NOW(),\"$cod\",\"$_POST[masinfo]\",\"$_POST[info_tecnica]\",\"$_POST[oferta]\")"; 
            $query = $con->query($sql); 
             
             
            if($query!=null){ 
 
                print "<script>alert('El producto fue guardado correctamente');window.location='index.php';</script>"; 
            } 
 
 
?>

petit89 · #2 (**permalink**) 06/07/2016, 20:28

info_tecnica,oferta) value (\"$_POST[nombre]\",\"

es VALUES

sdantuoni · #3 (**permalink**) 06/07/2016, 20:49

Petit89, Ya puse eso como me dijiste y de todas formas sigue pasando lo mismo. Saludos

petit89 · #4 (**permalink**) 06/07/2016, 21:36

Claro... eso era para comenzar... haciendo esto:

Código PHP:

Ver original\"$_POST[creador]\"

estas cometiendo un grabe error, tienes que aprender a escapear los contenidos de variables.. un ejemplo seria: http://php.net/manual/es/function.addslashes.php

Código PHP:

Ver original"...., VALUES (".addslashes($varibale_post).", ".addslashes($varibale_post).")";

y asi para las variables que puedan tener comillas en sus contenidos, claro este es un ejemplo de utilización directa en sentencia... antes de llegar a la sentencias puedes ocupar otro procedimiento para hacer esto mismo de una manera mas formal y enviar solamente la variable escapeada a la sentencia

sdantuoni · #5 (**permalink**) 06/07/2016, 21:46

Esto me esta ganando jeje, hice como me dijiste y sigue pasando lo mismo, tal vez puse algo mal.

Código PHP:

  $desc = $_POST["desc"]; 
$masinfo = $_POST["masinfo"]; 
$info_tecnica = $_POST["info_tecnica"]; 
 
 
$sql = "insert into productos(nombre,precio,descripcion,cat,subcat,creador,marca,nuevo,destacado,img,img1,img2,img3,fecha,cod,masinfo,info_tecnica,oferta) values (\"$_POST[nombre]\",\"$_POST[precio]\",".addslashes($desc).",\"$_POST[cat]\",\"$_POST[subcat]\",\"$_POST[creador]\",\"$_POST[marca]\",\"$_POST[nuevo]\",\"$_POST[destacado]\",\"$url\",\"$url1\",\"$url2\",\"$url3\",NOW(),\"$cod\",".addslashes($masinfo).",".addslashes($info_tecnica).",\"$_POST[oferta]\")";

gnzsoloyo · #6 (**permalink**) 07/07/2016, 05:26

Es preferible que uses apostrofos (') en lugar de comillas (") por dos razones:
1) Al crear la query como cadena de texto con comillas, los apostrofos quedan contenidos como caracteres.
2) MySQL usualmente usa los apostrofos como contenedores de cadenas de texto y las comillas para los nombres de objetos de base de datos, lo que podría causar comportamientos incorrectos. Esto último dependerá de al configuración del servidor de MySQL, pero no es raro que pase.

En síntesis:

Código PHP:

Ver original$sql = "insert into productos(nombre, precio, descripcion, cat, subcat, creador, 
marca, nuevo, destacado, img, img1, img2, img3, fecha, cod, masinfo, info_tecnica, oferta) 
values ('$_POST[nombre]', '$_POST[precio]', '".addslashes($desc).", '$_POST[cat]', '$_POST[subcat]',
 '$_POST[creador]', '$_POST[marca]', '$_POST[nuevo]', '$_POST[destacado]', '$url', '$url1', '$url2', 
'$url3', NOW(), '$cod\', '".addslashes($masinfo)."', '".addslashes($info_tecnica)."', '$_POST[oferta]')";

sdantuoni · #7 (**permalink**) 07/07/2016, 12:05

Intente como dijiste pero sigue sin funcionarme :(

petit89 · #8 (**permalink**) 07/07/2016, 13:51

Aparte de solo copiar y pegar lo que aqui se te proporciona de codigo, tienes que analizarlo y entenderlo, si no, no avanzaras.. revisa bien:

Código PHP:

      $sql = "INSERT INTO productos (nombre, precio, descripcion, cat, subcat, creador, 
    marca, nuevo, destacado, img, img1, img2, img3, fecha, cod, masinfo, info_tecnica, oferta) 
    VALUES ('$_POST[nombre]', '$_POST[precio]', '".addslashes($desc).", '$_POST[cat]', '$_POST[subcat]',
     '$_POST[creador]', '$_POST[marca]', '$_POST[nuevo]', '$_POST[destacado]', '$url', '$url1', '$url2', 
    '$url3', NOW(), '$cod', '".addslashes($masinfo)."', '".addslashes($info_tecnica)."', '$_POST[oferta]')";

$cod tenia un \, que al compañero se le fue... asi podrian haber mas errores, tienes que revisar, leer...

gnzsoloyo · #9 (**permalink**) 07/07/2016, 14:07

Exactamente...
Copy+Paste no funciona. Tienes que revisar.

No vamos a hacer toda la tarea por ti, porque no es la idea, y porque además no tenemos tus codigos fuentes y tampoco tiempo para revisarte todo. Nosotros también tenemos tareas y trabajos propios.

Recuerda que FDW es para ayudar, para guiar. El resto del camino tiene que ser tuyo.

xerifandtomas · #10 (**permalink**) 08/07/2016, 06:47

El problema es que usar directamente las variables en tu consulta es un peligro, es algo totalmente inseguro y más aún si no haced validación alguna para asedurarte de que recibes lo que esperas.

Se llama injeccion SQL.

En php puedes encontrar algunas funciones para prevenirlo y escapar los valores adecuadamente como por ejemplo mysql_real_escape_string()

En el primer enlace que te paso tienes recomendaciones y Técnicas de evitación.

En cuanto a addslashes() según el manual:

Cita:

Las funciones genéricas como addslashes() son útiles solamente en un entorno muy específico (p.ej., MySQL en un juego de caracteres monobyte con NO_BACKSLASH_ESCAPES deshabilitada), por lo que es mejor evitarlas.