Urgente: Caracteres % y ' en busquedas

ARJSystem · #1 (**permalink**) 29/10/2007, 14:53

Hola tengo un buscador en mi pagina web y me he encotrado con el siguiente problema:

Cuando introducen un % o una comilla simple o palabras que contengan alguno de estos caracteres, me falla la consulta ya que las tengo hechos con la sentencia like.

¿Existe alguna forma para que si introducen palabras que contenga esto me lo coja como parte de la palabra y no de la sentencia?

Espero haberme explicado más o menos bien.

Saludos y gracias de antemano.

jmqc · #2 (**permalink**) 29/10/2007, 15:25

Que tal ARJSystem, porq cuando haces el request de la variable q envias por el formulario no la pasas por la funcion htmlentities, quedaria algo asi:

$variable = htmlentities($_REQUEST["mivariable"]);

Yo creo q eso te puede ayudar. Espero q te sirva... Saludos

Seppo · #3 (**permalink**) 29/10/2007, 15:54

Lo que deberías hacer es escapar los caracteres especiales

Código PHP:

  $search = "ab_d%\'";
$search = mysql_real_escape_string($search);
$search = strtr($search, array('_' => '\_', '%' => '\%'));
mysql_query('SELECT ... WHERE name LIKE \'' . $search . '\'');

ARJSystem · #4 (**permalink**) 29/10/2007, 16:59

Cita:

Iniciado por Seppo

Lo que deberías hacer es escapar los caracteres especiales

Código PHP:

  $search = "ab_d%\'"; 
$search = mysql_real_escape_string($search); 
$search = strtr($search, array('_' => '\_', '%' => '\%')); 
mysql_query('SELECT ... WHERE name LIKE \'' . $search . '\'');

Gracias jmqc, pero no me ha valido lo que me digiste, de todas formas hago un $HTTP_GET_VARS en lugar de un $_REQUEST no se si eso influirá.

Seppo podrias explicarme un poco mejor como se haria la opcion que me comentas?

Saludos y gracias.

Seppo · #5 (**permalink**) 29/10/2007, 19:10

Vos ahora tenés un string ($HTTP_GET_VARS['algo...']), y eso lo utilizás en una consulta MySQL, lo que digo es que ejecutes lo siguiente

Código PHP:

  $search = $_GET['algo...']; // obvio que en vez de algo... va el nombre del índice que usás, y pongo _GET en vez de HTTP_GET_VARS porque fue reemplazado, desde PHP 4.1
$search = mysql_real_escape_string($search); // escapás los caracteres comunes, tipo comillas o apóstrofes
$search = strtr($search, array('_' => '\_', '%' => '\%')); //escapás el _ y % que se escapan sólo para los LIKE
mysql_query('SELECT ... WHERE name LIKE \'' . $search . '\'');   // ejecutás la consulta

ARJSystem · #6 (**permalink**) 29/10/2007, 19:41

Cita:

Iniciado por Seppo

Vos ahora tenés un string ($HTTP_GET_VARS['algo...']), y eso lo utilizás en una consulta MySQL, lo que digo es que ejecutes lo siguiente

Código PHP:

  $search = $_GET['algo...']; // obvio que en vez de algo... va el nombre del índice que usás, y pongo _GET en vez de HTTP_GET_VARS porque fue reemplazado, desde PHP 4.1 
$search = mysql_real_escape_string($search); // escapás los caracteres comunes, tipo comillas o apóstrofes 
$search = strtr($search, array('_' => '\_', '%' => '\%')); //escapás el _ y % que se escapan sólo para los LIKE 
mysql_query('SELECT ... WHERE name LIKE \'' . $search . '\'');   // ejecutás la consulta

Gracias Seppo, he estado probando y no he conseguido la solucion.

Mi servidor esta provisto de el programa este que dectecta caracteres extraños como la comilla simple. Entonces en lugar de Glos's me esta metiendo Glos\'s.

El problema lo tengo unicamente cuando se introduce unicamente % en el buscador.

También podria hacer una validacion js para ver si es % pero no se si existira algo parecido a lo que me has comentado.

Otra cosilla, para poder realizar la busqueda con Glos's en lugar de con Glos\'s, deberia utilizar el strtr? Supongo que no ya que caeria en el mismo problema, entonces como podria realizar esa busqueda correctamente?

Gracias y un saludo amigo.

talcual · #7 (**permalink**) 29/10/2007, 20:01

la solucion es q no las aceptes , ya q es conveniente por estabilidad de la bd

eso lo podrias hacer con esto str_replace("%"," ",$cadena q quieres quitarle el %)

ese cod te permitira borrar el caracter % de la consulta principal eso va antes de la consulta claro esta en la variable q pasas por like

Seppo · #8 (**permalink**) 30/10/2007, 05:04

Supongo que tenés magic_quotes_gpc... entonces no necesitás ejecutar el mysql_real_escape_string, sólo el strtr para escapar el % y el _ q las comillas mágicas no escapan

Código PHP:

   $search = $_GET['algo...']; // obvio que en vez de algo... va el nombre del índice que usás, y pongo _GET en vez de HTTP_GET_VARS porque fue reemplazado, desde PHP 4.1
$search = strtr($search, array('_' => '\_', '%' => '\%')); //escapás el _ y % que se escapan sólo para los LIKE
mysql_query('SELECT ... WHERE name LIKE \'' . $search . '\'');   // ejecutás la consulta

ARJSystem · #9 (**permalink**) 30/10/2007, 08:37

Cita:

Iniciado por Seppo

Supongo que tenés magic_quotes_gpc... entonces no necesitás ejecutar el mysql_real_escape_string, sólo el strtr para escapar el % y el _ q las comillas mágicas no escapan

Código PHP:

   $search = $_GET['algo...']; // obvio que en vez de algo... va el nombre del índice que usás, y pongo _GET en vez de HTTP_GET_VARS porque fue reemplazado, desde PHP 4.1 
$search = strtr($search, array('_' => '\_', '%' => '\%')); //escapás el _ y % que se escapan sólo para los LIKE 
mysql_query('SELECT ... WHERE name LIKE \'' . $search . '\'');   // ejecutás la consulta

Muchas gracias Seppo cuando llegue a casa esta tarde lo probaré.