problema con el caracter ' de programacion

matak · #1 (**permalink**) 31/10/2008, 09:07

Buenas amigos del foro,

El problema que tengo es el siguiente.

Tengo un input text en el que al introducir caracteres realiza una busqueda en una BD. Todo funciona bien pero por ejemplo si en el text introduzco ' claro esta la consulta a la base de datos da error.

p.e. introduciendo L'HOSPITALET

el programa genera SELECT * FROM tabla WHERE campo= 'L'HOSPITALET'

La cosa es que pense en que por medio de js podía sustituir el caracter ' por ´ quedando en el ejemplo anterior L´HOSPITALET y ya la consulta funcionaría. Esto lo tendré que hacer tanto en el formulario de inserción como en el de busqueda.

Entonces hice la siguiente función

Código javascript:

Ver originalfunction detectkey(evt,obj) {
keycode = (evt.keyCode==0) ? evt.which : evt.keyCode;
if (keycode==39){ //39 --> '
  keycode=180; //180 -->´
  obj.value=obj.value+String.fromCharCode(keycode);
}
}

Esto no me funciona ya que en el text field me coloca ´', es decir los dos

Si alguien me pudiera echar una mano,...

Gracias de antemano

#2 (**permalink**) 31/10/2008, 10:18

1º No lo hagas capturando el evento de teclado. Espera a cuando se vaya a enviar el formulario y antes de enviarlo haces un replace.

Pero no, no hagas eso tampoco!

2º No lo hagas en Javascript, en el cliente. Hazlo en el lado del servidor. Cualquiera puede tener desactivado Javascript o enviarte un ' a propósito.

3º No sustituyas ' por ´. Lo que debes hacer es escapar los caracteres problemáticos. Es decir, que a. en lugar de sustituir por ´ usa \' (...WHERE campo = 'L\'HOSPITALET'); y b. No lo hagas sólo para '. Lo que tienes que hacer realmente es filtrar todos los caracteres problemáticos.

matak · #3 (**permalink**) 31/10/2008, 10:59

Joer Venkman, ahora que lo había conseguido...

Vaya,ni se me había ocurrido...ciertamente es lo mejor.

Con respecto a escapar más carácteres he probado a consultara con !"·$%&/()=?¿1¡|@#~€¬y ninguno me da error la consulta,...no me encuentra nada pero no me da error...¿Se te ocurre alguno que debiera escapar???

Muchas gracias

Panino5001 · #4 (**permalink**) 31/10/2008, 12:18

Si trabajás con php, podés usar http://www.php.net/manual/es/functio...ape-string.php

matak · #5 (**permalink**) 03/11/2008, 05:09

Muchas gracias a los dos,...

Tema resuelto gracias a vuestra información.

Saludos

ceSharp · #6 (**permalink**) 03/11/2008, 05:29

Hola chicos!
Quizá ya no viene a cuento porque parece que el tema está resuelto pero bueno, por si le sirve a alguien. cuando realizas una query en sql que contenga una ' creo que lo mejor es doblar esa comilla simple y la consulta se hace correctamente. por ejemplo: La consulta de antes a la base de datos se soluciona así--> SELECT * FROM tabla WHERE campo= 'L''HOSPITALET' (fijate en la doble comilla entre la L y la H). Ojo, es pulsar dos veces la comilla simple, no la doble comilla (MAY+2). En tú código puedes hacer un split de la query y si encuentra ' que la doble. Salu2.

matak · #7 (**permalink**) 03/11/2008, 05:47

bueno es otra solución

Aunque segun lo que e leído con la funcion mysql_real_escape_string() no sólo escapas los caracteres,sino que también evitas ataques de inundación cosa que es interesante, aunque a lo mejor con tu método también se evitarían, no se, sería probar.

Salu2