¿Seria necesario hacer el if?

Strings · #1 (**permalink**) 12/09/2013, 14:59

En el siguiente codigo seria necesario crear un if?

Código PHP:

  $news = $connection->prepare("INSERT INTO news(id,user,title,content,date,ip) VALUES ('', '".$_SESSION['username']."', :title, :content, '".date('H:i:s d/m/Y')."','".$_SERVER['REMOTE_ADDR']."')");
$news->bindParam(':title',$_POST['title']);
$news->bindParam(':content',$_POST['content']);
$news->execute();
if($news->rowCount() > 0):
    echo 'Noticia creada correctamente';
else:
    echo 'Error al crear la noticia';
endif;

pateketrueke · #2 (**permalink**) 12/09/2013, 15:04

¿Necesario para qué?

Por cierto, tu código está mal, si vas a usar bindParam() deberías hacerlo igual para las demás variables de sesión, fecha e IP.

Es decir, bindParam() no está limitado a variables de formulario únicamente, sólo piensa que toda variable debería estar limpia sí o sí.

Un ejemplo de fragilidad en tu código es que se puede falsear el valor del REMOTE_ADDR desde una cabecera, así que tu consulta no está bien protegida.

Strings · #3 (**permalink**) 12/09/2013, 15:10

No sabia que se podria falsear. Muchas gracias

Strings · #4 (**permalink**) 13/09/2013, 00:53

Aunque la fecha la puedo dejar sin filtrar no?

pateketrueke · #5 (**permalink**) 13/09/2013, 01:04

Sí claro, pero por consistencia todo lo deberías manejar con bindParam(), es bueno separar responsabilidades.

La idea es que la consulta sea sólo eso y no más, eso facilitará su lectura y modificación, de otra forma habría que estar lidiando siempre con la concatenación, etc.

Que no se trate de una variable sensible no evita que metas código mal.

Strings · #6 (**permalink**) 13/09/2013, 05:44

Gracias, tu cuando creas un insert into creas un if para saber si lo ha ingresado correctamente?

pateketrueke · #7 (**permalink**) 13/09/2013, 09:29

Claro, validar es siempre un requerimiento.

Strings · #8 (**permalink**) 13/09/2013, 09:38

Claro, pero si lo as filtrado bien, siempre se tiene que ingresar correctamente, entonces ese if creo que es innecesario

jonni09lo · #9 (**permalink**) 13/09/2013, 09:53

Olvidas una regla fundamental en programación TODO es RELATIVO, nada te determina que te funcionará siempre al 100%; Además si sigues la regla de oro de "Nunca confíes en el usuario" siempre verificarás todo, ya que a parte de ser un buen estándar, te curas siempre en salud y evitas posibles puntos débiles en tu aplicativo

Saludos