no me funciona el escape de comillas

LuisCZ · #1 (**permalink**) 07/12/2011, 18:32

Hola, tengo esta pieza de codigo:

Código PHP:

  $ima1 = "[\"'imagenes/Imagen'. $user .'1.jpg'\"]";

si no estoy errado deberia quedar de la siguiente forma:
["imagenes/Imagencasraidcar1.jpg"]

al momento de hacer el update y guardar los cambio en la base de datos:

Código PHP:

  mysql_query("UPDATE enventa SET slideshow = '$nuevo' WHERE nombre = '$user'");

no se guarda nada... probe si existe algun error en el UPDATE colocando una cadena normal en la variable $ima1 = "Hola" y funciono perfectamente. ¿que podria estar pasando?

Saludos y gracias.

carlos_belisario · #2 (**permalink**) 07/12/2011, 18:47

el problema es de escape de comillas en tu consulta, tu consulta carece de seguridad, cuando tu consulta encuentra el ' de tu string sencillamente lo toma como cierre del campo por lo que lo demas no lo toma bien ya que no es una consulta correcta, mysql tiene funciones para escapar caracteres como
mysql_rela_escape_string

verifica si colocando esta funcion de esta manera

Código PHP:

Ver originalmysql_query("UPDATE enventa SET slideshow = ' ".mysql_real_escape_string($nuevo)."' WHERE nombre = '$user'");

funciona, ademas en esa consulta que enviaste no estas trabajando la variable que indicas arriba que contiene el string, saludos

p.d: busca información de sql injection y veras el problema que tienes al no escapar los caracteres especiales en tu consulta, saludos

gildus · #3 (**permalink**) 07/12/2011, 21:49

Holas,

Usa el html_entities y luego recien le pasas el mysql_real_escape_string.

Saludos

LuisCZ · #4 (**permalink**) 08/12/2011, 09:20

Hola a ambos! problema solucionado... muchas gracias!