Mi clase de Mysql_query

Jona_than · #1 (**permalink**) 25/01/2010, 13:46

Estimados,

Saben he estado poco a poco metiendole en el mundo de la orientación a objetos y realmente lo he encontrado bastante interesante, he desarrollado ya algunas funciones que he re ocupando y ahorrando tiempo a la hora de programar.

Entonces un drama, estoy desarrollando un portafolio, y enviándole los datos por ajax, y este tema, y me funciona perfectamente, el drama que a la hora de ejecutar una función mysql_query un drama de syntasis que no sé bien, porque ocurre.

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'Web)' at line 1

La función que ejecuta el mysql_query es la siguiente:

Código PHP:

Ver originalpublic function EjecucionMySQLQuery($sql){
        $this->consulta=mysql_query($sql,$this->enlace) or die (mysql_error());
        return $this->consulta;
    }

Y el código que en teoría llama a esta función es la siguiente, en la cual me genera el error de arriba.

Código PHP:

Ver originalrequire 'Index.class.php';
$BaseDatos=BaseDatosClass::hacerInstancia();
$Select = "INSERT INTO PORTAFOLIO_CATEGORIAS (NOMBRE_CATEGORIA) VALUES (".$_POST['NombreCategoria'].")";
$BaseDatos->EjecucionMySQLQuery($Select);

Ojala alguien me pueda ayudar.

Tau.

SergeMedina · #2 (**permalink**) 25/01/2010, 13:57

Que tal, el problema es que no estas escapando la cadena que te llega por post. Haz esto:

Código PHP:

Ver originalINSERT INTO PORTAFOLIO_CATEGORIAS (NOMBRE_CATEGORIA) VALUES ('".$_POST['NombreCategoria']."')"

Un tip: nunca confies en lo que el usuario introduce, filtra tus variables que recibas por parte del cliente y evitaras ataques dañinos a tu web.

Jona_than · #3 (**permalink**) 25/01/2010, 14:03

Cita:

Iniciado por SergeMedina

Que tal, el problema es que no estas escapando la cadena que te llega por post. Haz esto:

Código PHP:

Ver originalINSERT INTO PORTAFOLIO_CATEGORIAS (NOMBRE_CATEGORIA) VALUES ('".$_POST['NombreCategoria']."')"

Un tip: nunca confies en lo que el usuario introduce, filtra tus variables que recibas por parte del cliente y evitaras ataques dañinos a tu web.

Me podrías explicar un poquito más, lo que me dices en el tip.

Y muchas gracias, justamente era lo que mencionabas, parece que muchas horas sentado programando algo, iré a tomar aire haber si me percato más rápido de estos errores...

Saludos.

SergeMedina · #4 (**permalink**) 25/01/2010, 14:13

Claro.

Supon que alguien en tu web introduce la siguiente cadena: '; TRUNCATE PORTAFOLIO_CATEGORIAS;. PHP lo ejecutaria asi:

Código PHP:

Ver original$sql = "INSERT INTO PORTAFOLIO_CATEGORIAS (NOMBRE_CATEGORIA) VALUES ('"';  TRUNCATE PORTAFOLIO_CATEGORIAS;"

Por lo tanto debes de sanitizar la entrada con alguna función que te evite el SQL Injection, para mysql esta la de mysql_real_escape_string.

Puedes hacer esto:

Código PHP:

Ver original$cleanData = array();
foreach($_POST as $k => $v) {
    $cleanData[$k] = mysql_real_escape_string($v);
}
 
//y en el query:
$sql = "INSERT INTO PORTAFOLIO_CATEGORIAS (NOMBRE_CATEGORIA) VALUES ('".cleanData['NombreCategoria']."')"

Adicionalmente a eso, haria validacion de tipos de datos, si esperas cadenas, numeros, emails, etc filtra el contenido que te llegue mediante las funciones de filter de php.