Ok .. ahora lo ví ..

Bien . .NO ES CORRECTO y -altamente- peligroso que tu andes pasando una sentencia SQL !!!!! por el URL!!!!! como lo haces!!!!. Y si te cambio el URL y te pongo un "TRUNCATE nombre_tabla"?

DEBES pasar parámetros que compongan tu sentencia SQL no la sentencia SQL en sí .. eso es Extremadamente peligroso!.

Pasale a tu script "reportes.php" los mismos parámetros que le pasas el código principal para ejecutar el mismo código (create funciones y así no repites código tanto ...) .. esos: "torden", fechas y demás parámetros que usas.

El problema que tienes ahora es que como pasas por el URL una cadena con espacios, caracteres como .. comillas .. puntos .. etc .. NO las codificas en el URL .. por eso llegan como llegan a tu script de proceso (le haces un echo a $sql en reportes.php para ver que recibes o que sentencia SQL real vas a ejecutar?). En esos casos se debe codificar el URL (url_encode()) .. y al otro lado lo contrario url_decode() ...

Pero .. insisto que esta no es la solución .. NO LO HAGAS por tu bien!.


Un saludo,