Tema: como funciona el htmlspecialchars ???
Ver Mensaje Individual
  #10 (permalink)  
Antiguo 08/03/2009, 15:36
jonysi_d
 
Fecha de Ingreso: octubre-2007
Mensajes: 724
Antigüedad: 17 años, 6 meses
Puntos: 4
podrias decirme donde debo insertar el htmlspecialchars ?? ya que no se si se coloca en el head, body , o no importa ???

El problema esque si modifico el action="comentarios.php" que es la pagina donde se dirige despues de enviar los datos, despues no me sube la informacion a mi Base de Datos, ya que la $editFormAction envia los datos del <form> a la base de datos.


$editFormAction = $_SERVER['PHP_SELF'];
if (isset($_SERVER['QUERY_STRING'])) {
$editFormAction .= "?" . htmlentities($_SERVER['QUERY_STRING']);
}

if ((isset($_POST["MM_insert"])) && ($_POST["MM_insert"] == "form1")) {
$insertSQL = sprintf("INSERT INTO comentarios (correo, nombre_usuario, fecha, comentario) VALUES (%s, %s, %s, %s)",
GetSQLValueString($_POST['correo'], "text"),
GetSQLValueString($_POST['nombre_usuario'], "text"),
GetSQLValueString($_POST['fecha'], "date"),
GetSQLValueString($_POST['comentario'], "text"));

mysql_select_db($database_miweb, $miweb);
$Result1 = mysql_query($insertSQL, $miweb) or die(mysql_error());

$insertGoTo = "comentarios.php";
if (isset($_SERVER['QUERY_STRING'])) {
$insertGoTo .= (strpos($insertGoTo, '?')) ? "&" : "?";
$insertGoTo .= $_SERVER['QUERY_STRING'];
}
header(sprintf("Location: %s", $insertGoTo));
}

mysql_select_db($database_miweb, $miweb);
$query_comentarios = "SELECT * FROM comentarios ORDER BY visitaid DESC";
$comentarios = mysql_query($query_comentarios, $miweb) or die(mysql_error());
$row_comentarios = mysql_fetch_assoc($comentarios);
$totalRows_comentarios = mysql_num_rows($comentarios);
?>

Lo que he puesto en negrita es lo que deberia de sustituir por htmlspecialchars ???????


la verdad no se como hacerlo, entiendo la teoria que me explica muy generosamente el amigo Razenga y Ronruby, pero a la hora de aplicarlo, voy algo perdido, ya que es codigo generado por Dreamweaver y creo que lo complica un poco...

Ayuda porfavor...

Imajino yo que debo modificar esta linea

$editFormAction .= "?" . htmlentities($_SERVER['QUERY_STRING']);
}

i cambiarlo por :
$editFormAction .= "?" . htmlspecialchars($_SERVER['QUERY_STRING']);
};

pero como le digo o como lo hago para hacer que modifique los signos ???

Ya que lo he provado asi, pero no funciona, sigo recibiendo mensajes con caracteres HTML
Última edición por GatorV; 09/03/2009 a las 16:32