No me guarda cuando escribo 'hola'

tattojk · #1 (**permalink**) 03/11/2006, 09:51

Saludos.

Trabajo con SQL Server y PHP 4... en un atabla tengo un campo text ya que el usuario le encanta escribir "carreta ventiada" pero resulta que cuando escribo 'Prueba' o "prueba" me sale error y miro que tiene la variable del textarea y sale:
\'prueba\'
\"prueba\"

Quien me puede ayudar????

Agradezco la ayuda que me puedan brindar...

helthon · #2 (**permalink**) 03/11/2006, 10:28

Pero como lo haces, muestra el codigo para ver el errror.

tattojk · #3 (**permalink**) 03/11/2006, 10:47

<?
include "Conexion.php";
?>
<html>
<head>
<title>Documento sin título</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>

<body>
<form name="form1" method="post" action="">
<p>
<input name="txtNumero" type="text" id="txtNumero">
</p>
<?
if($_POST['txtNumero'])
{
$Sql = "select Textos from Pruebas where consec=".$_REQUEST['txtNumero'];
$Busq = mssql_query($Sql,$conexion);
$Texto = mssql_result($Busq,0,"Textos");
}
?>
<p>
<textarea name="Texto" id="Texto"><? echo $Texto?></textarea>
</p>
<p>
<input name="Guardar" type="button" id="Guardar" value="Guardar" onClick="form1.Accion.value='Guardar';submit();">
<input name="Accion" type="hidden" id="Accion">
<input type="button" name="Submit" value="Botón" onClick="window.location='GuardarTextSql.php'">
</p>
<p><? echo "Resultado".nl2br($Texto)?></p>
</form>
</body>
</html>
<?
if($_POST['Accion'] == 'Guardar')
{
echo "Escribi".$_REQUEST['Texto'] ."<br><br>";
$Sql = "select max(consec) as consec from Pruebas";
$Busq = mssql_query($Sql,$conexion);
$Consec = mssql_result($Busq,0,"consec");
$Consec = $Consec + 1;
$work = mssql_query("begin transaction",$conexion);
$Sql = "insert into Pruebas values($Consec,'".trim($_REQUEST['Texto'])."')";
$Ins = mssql_query($Sql,$conexion);
if($Ins != true)
{
echo "<script>
alert('No puedo guardar')
</script>";
$work = mssql_query("rollback transaction",$conexion);
exit;
}
$work = mssql_query("commit transaction",$conexion);
}
?>

Espero que puedan ayudarmen

tattojk · #4 (**permalink**) 07/11/2006, 06:29

Saludos.

Nadie ha tenido este problema???'

Cluster · #5 (**permalink**) 07/11/2006, 06:36

Deberías verificar el estado de "magic_quote_gpc" para aplicar un "addslashes()" (así evitaras problemas de seguridad sobre "SQL injection") y a la hora de presentar tu dato, elminas las posibles "\" que tengas con stripslashes()

Tienes muchos ejemplos en (los comentarios de los usuarios):
www.php.net/stripslashes

Un saludo,

tattojk · #6 (**permalink**) 08/11/2006, 10:28

Saludos Cluster estuve leyendo la documentacion y implemente esto

get_magic_quotes_gpc();
$Sql = 'insert into Pruebas values('.$Consec.',"'.stripslashes($_REQUEST['Texto']).'")';

y me guarda el 'hello'
pero cuando escribo "hello" me sale error....

Que puedo hacer???

sergi_climent · #7 (**permalink**) 08/11/2006, 10:32

Hola
prueba con la funcion addslashes para insertar... y para mostrar los datos la de stripslashes

saludos

Cluster · #8 (**permalink**) 08/11/2006, 14:09

El stripslashes() lo debes usar a la hora de presentar tu dato .. no a la hora de "ingresar" tu dato a tu BBDD (via INSERT/UPTATE o lo que uses).

De hecho si tu usas "magic_quote_gpc" a ON (que es lo que parece usar en tu configuración de PHP .. ) ya es "PHP" quien mete el slash (/) para "escapar" ciertos caracteres peligrosos como las comillas y demás.

Te recomendé que vises la documentación de esas funciones por qué tienes un buen montón de comentario; sobre todo ejemplos que validan el estado de "magic_quote_gpc" para aplicar o no el "addslasshes" a la hora de ingresar datos a tu BBDD .. por lo demás siempre a la hora de presentar tu dato aplicarías stripslashes()

Un saludo,

tattojk · #9 (**permalink**) 09/11/2006, 10:48

Saludos agradezco la colaboración modifique el codigo de la siguiente manera, espero sus valiosas opiniones...

<html>
<head>
<title>Documento sin título</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>

<body>
<form name="form1" method="post" action="">
<p>
<input name="txtNumero" type="text" id="txtNumero">
</p>
<?
if($_POST['txtNumero'])
{
$Sql = "select Textos from Pruebas where consec=".$_REQUEST['txtNumero'];
$Busq = mssql_query($Sql,$conexion);
$Texto = mssql_result($Busq,0,"Textos");
}
?>
<p>
<textarea name="Texto" id="Texto" style="font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 9px; width: 520; height: 100;" ><? echo $Texto?></textarea>
</p>
<p>
<input name="Guardar" type="button" id="Guardar" value="Guardar" onClick="form1.Accion.value='Guardar';submit();">
<input name="Accion" type="hidden" id="Accion">
<input type="button" name="Submit" value="Botón" onClick="window.location='GuardarTextSql.php'">
</p>
<p><? echo "Resultado".stripslashes(nl2br($Texto))?></p>
</form>
</body>
</html>
<?
if($_POST['Accion'] == 'Guardar')
{
$Sql = "select max(consec) as consec from Pruebas";
$Busq = mssql_query($Sql,$conexion);
$Consec = mssql_result($Busq,0,"consec");
$Consec = $Consec + 1;
$work = mssql_query("begin transaction",$conexion);
$s = "\ ";
echo "reemplaze". $_REQUEST['Texto'] = str_replace(trim($s),"", $_REQUEST['Texto']);

$s = "' ";
echo "<br>reemplaze comillita". $_REQUEST['Texto'] = str_replace(trim($s),"''", $_REQUEST['Texto']);

echo "<br>".$Sql = "insert into Pruebas values($Consec,'".trim($_REQUEST['Texto'])."')";
$Ins = mssql_query($Sql,$conexion);
if($Ins != true)
{
echo "<script>
alert('No puedo guardar ')
</script>";
$work = mssql_query("rollback transaction",$conexion);
exit;
}
$work = mssql_query("commit transaction",$conexion);
}
?>

tattojk · #10 (**permalink**) 14/11/2006, 14:22

Nadie tiene comentarios???

Cluster · #11 (**permalink**) 15/11/2006, 05:37

Cita:

Iniciado por tattojk

Nadie tiene comentarios???

Por mi parte ya te comenté:

Usa addslashes() a la hora de hacer tu INSERT/UPDATE de tus datos y stripslashes() a la hora de obtener tu dato (de hacer tu "SELECT").

Revisa también que valor tiene magic_quote_gpc antes de aplicar addslashes() por qué con magic_quote_gpc a ON ya PHP añade los \ a caracteres como " (comillas) entre otros .. así que si vuelves aplicar un "add" añadirás un \ de más por " que se encuentre en tu dato.

Un saludo,

tattojk · #12 (**permalink**) 15/11/2006, 09:58

Saludos Cluster...

aplique toda la teoria de los add...
y los strip....

Pero no me funcionan bien y cuando lo guarda lo guarda con \ y eso ocupa espacio y aqui la gente se inspira digitando....

Los comentarios eran del codigo que postee despues de tu sugerencia Cluster

Es de la unica forma que me guarda bien...

Seguire trabajando como postee el codigo...

sergi_climent · #13 (**permalink**) 15/11/2006, 10:50

hola de nuevo!
Pero q problemas te da ese codigo? te sigue pasando lo mismo q al principio, q no te guarda bien? o q si lo guarda bien y a la hora de mostrarlo no te lo muestra bien?

saludos

Cluster · #14 (**permalink**) 15/11/2006, 11:07

Cita:

Iniciado por tattojk

Saludos Cluster...

aplique toda la teoria de los add...
y los strip....

Pero no me funcionan bien y cuando lo guarda lo guarda con \ y eso ocupa espacio y aqui la gente se inspira digitando....

Los comentarios eran del codigo que postee despues de tu sugerencia Cluster

Es de la unica forma que me guarda bien...

Seguire trabajando como postee el codigo...

Tras aplicar esa "teoría" deberías mostrar el código que te quedó.

Por el momento veo que en algún momento usastes

$Sql = 'insert into Pruebas values('.$Consec.',"'.stripslashes($_REQUEST['Texto']).'")';

Y mi recomendación no va por usar ' sino ":

Código PHP:

  $Sql = "insert into Pruebas values('".$Consec."','".$_REQUEST['Texto']."')";

Eso sería si usas "magic_quote_gpc" a ON (que es lo normal y por defecto sale PHP .. ). Pero por seguridad se debería verificar el estado de esa directiva de PHP para aplicar el "addslashes()".

Seguidamente, a la hora de obtener es dato que tu ingresastes .. ahí aplica el "stripslashes()" para quitar el \ que ya te incluyó "magic_quote_gpc a ON" o bien si usastes addslasshes() en el caso de que esa directiva estuviese a OFF.

Un saludo,