Escapar Comillas Simples de MYSQL

pmeninsaxmus16 · #1 (**permalink**) 17/12/2013, 11:44

Hola a todos, gracias por los aportes que dan a esta comunidad, nos ayudan mucho, hoy tengo un problema que no puede solventarlo, talvez alhuien se topo con el mismo error y me ayuda a solucionarlos.
Tengo un consulta que extrae los nombres de una base de datso, estos nombre ppueden tener acentos, tildes etc, como he leido para armar la consulta sql toda la sintaxis se pone entre comillas dobles ("Select....") y entre simples lo que quiero comparar que es un string ('')
Ejemplo: " Select id from tabla where nombre='$variable' "; hasta ahi todo bien

El problema es cuando en la bd hay un registro parecido a esto Samuel Rodri'guez, por error o nombre propio lleva incluido un (') y al hacer la consulta como aparece la comilla simple me delimita la consulta y me lanza error...

[2/2] QueryException: [Syntax Error] line 0, col 272: Error: Expected end of string, got 's' +

[1/2] QueryException: SELECT concat(concat(concat(concat(trim(a.firstname),' '),trim(a.middlename)),' '),trim(a.lastname)) FROM ABCIsystemBundle:AbcMembers a WHERE concat(concat(concat(concat(trim(a.firstname),' '),trim(a.middlename)),' '),trim(a.lastname)) like 'Samuél Juan Chepon Rodriguez's Melendez'

Ayuda???

Alexis88 · #2 (**permalink**) 17/12/2013, 11:47

Utiliza la función addslashes.

Saludos

pmeninsaxmus16 · #3 (**permalink**) 17/12/2013, 11:54

donde utilizo esa funcion?? la antepongo antes del campo dentro de la consulta??
Algo asi:
"SELECT .... FROM ..... where addslashes( ' $variable ' ) ";

gnzsoloyo · #4 (**permalink**) 17/12/2013, 11:57

Cita:

Iniciado por pmeninsaxmus16

donde utilizo esa funcion?? la antepongo antes del campo dentro de la consulta??
Algo asi:
"SELECT .... FROM ..... where addslashes( ' $variable ' ) ";

¿En serio lo estás preguntando?

Por lo pronto es una función de PHP, no de MySQL, por ende, no puedes usarla dentro del SQL... ¿No te parece?

Lo que debes hacer es procesar el contenido de la variable en PHP con esa función, y su resultado es lo que va al SQL, no la función en si.

Alexis88 · #5 (**permalink**) 17/12/2013, 12:03

Sería más o menos así:

Código PHP:

Ver original$query = mysqli_query($conex, sprintf("SELECT * FROM tabla WHERE campo = '%s'", addslashes($variable));

Si el contenido de la variable fuera, por ejemplo, O'riordan, quedaría O\'riordan.

PHPeros · #6 (**permalink**) 17/12/2013, 12:24

No es recomendable usar addslashes() debido a que pueden darse problemas de codificación.
Utiliza mysql_real_escape_string(), es más seguro.

pmeninsaxmus16 · #7 (**permalink**) 17/12/2013, 12:31

Ejemplo de uso de mysql_real_escape_string(), ya utilize el addslashes() y siempre me corta la consulta aunq le anteponga la \ antes de la comilla simple ( ' )

Alexis88 · #8 (**permalink**) 17/12/2013, 12:34

Estaba por recomendarle lo mismo

aunque sería mejor que ya empiece a hacer uso de la extensión Mysqli, utilizando en este caso la función mysqli_real_escape_string().

pmeninsaxmus16, así sería:

Código PHP:

Ver original$query = mysqli_query($conex, sprintf("SELECT * FROM tabla WHERE campo = '%s'", mysqli_real_escape_string($conex, $variable));

pmeninsaxmus16 · #9 (**permalink**) 17/12/2013, 14:47

Esta es mi query

Código:

$sql="SELECT concat(concat(concat(concat(trim(a.firstname),' '),trim(a.middlename)),' '),trim(a.lastname)) FROM ABCIsystemBundle:AbcMembers a WHERE concat(concat(concat(concat(trim(a.firstname),' '),trim(a.middlename)),' '),trim(a.lastname)) ='".addslashes($cad2)."'";
                $repositorio = $this->getEntityManager()->createQuery($sql); 
                try {  
                        $results = $repositorio->getSingleResult();
                        $filtro = implode(' ', $results);  //comvierte a string el array
                        $convert=(string)$filtro;        
                        return $convert;
                    } 
                catch (\Doctrine\Orm\NoResultException $e) { $repositorio = null; }
            }

y me tira siempre este error

Código:

[Syntax Error] line 0, col 269: Error: Expected end of string, got 's' 

QueryException: SELECT concat(concat(concat(concat(trim(a.firstname),' '),trim(a.middlename)),' '),trim(a.lastname)) FROM ABCIsystemBundle:AbcMembers a WHERE concat(concat(concat(concat(trim(a.firstname),' '),trim(a.middlename)),' '),trim(a.lastname)) ='Samuél Juan Chepon Rodriguez\'s Melendez'

ya sea con el addslashes ó mysql_real_escape_string

y en el debug arroja esto

gnzsoloyo · #10 (**permalink**) 17/12/2013, 15:02

Por lo pronto, estás haciendo un código SQL innecesariamente complicado para una consulta tan simple. No pongas tantos CONCAT para enlazar cada parte. En MySQL uno solo alcanza para muchos bloques:

Código PHP:

Ver original$sql="SELECT CONCAT(TRIM(a.firstname),' ', TRIM(a.middlename), ' ', TRIM(a.lastname)) FROM ABCIsystemBundle:AbcMembers a WHERE CONCAT(TRIM(a.firstname),' ', TRIM(a.middlename), ' ', TRIM(a.lastname))  ='".addslashes($cad2)."'";

pmeninsaxmus16 · #11 (**permalink**) 17/12/2013, 15:38

Cita:

Iniciado por gnzsoloyo

Por lo pronto, estás haciendo un código SQL innecesariamente complicado para una consulta tan simple. No pongas tantos CONCAT para enlazar cada parte. En MySQL uno solo alcanza para muchos bloques:

Código PHP:

Ver original$sql="SELECT CONCAT(TRIM(a.firstname),' ', TRIM(a.middlename), ' ', TRIM(a.lastname)) FROM ABCIsystemBundle:AbcMembers a WHERE CONCAT(TRIM(a.firstname),' ', TRIM(a.middlename), ' ', TRIM(a.lastname))  ='".addslashes($cad2)."'";

A nivel de consulta si extrae los datos, a nivel de la aplicacion web nada, muestra este error,

Código:

[Syntax Error] line 0, col 82: Error: Expected Doctrine\ORM\Query\Lexer::T_CLOSE_PARENTHESIS, got ','