Foros del Web - Ver Mensaje Individual

den_22 · #1 (**permalink**) 24/04/2010, 18:07

Hola amigos que tal, veran estoy con un problemita estoy tratando de hacer que el modificar perfil no permita algunos caracteres y esas cosas, les muestro el codigo que tengo hasta ahora, porque parece que no los filtra en la bd, o sea si yo escribo &&& deberia no aparecer en la bd y aparece.

Que es lo que estoy haciendo mal, este es el modificarperfil.php, que tiene un form con un action "modificarperfil.php" y para mostrar los errores lo que hago es

Código PHP:

Ver originalif($_SESSION['msg']['reg-err'])
                        {
                            echo '<div class="err">'.$_SESSION['msg']['reg-err'].'</div>';
                            unset($_SESSION['msg']['reg-err']);
                        }
                        ?>

Pero no aparece nada.

Ahora dejo el codigo del modificarperfil.php:

Código PHP:

Ver original<?php
 error_reporting(E_ALL ^ E_NOTICE);
session_name('pLogin');
session_set_cookie_params(2*7*24*60*60);
session_start();
 
$usuario=$_SESSION['usuario'];
 
 
if(!$_SESSION['usuario']=='usuario'){
header("Location: index.php");// si no es igual a usuario te direcciona al inicio u a otra pagina 
}
 
 
 
include("connect.php"); //incluimos el connect.php que contiene los datos de la conexión a la db y la sesión
 
$id = $_SESSION['usuario'];
 
if(!isset($id)){
 
echo 'No se ha seleccionado ningun usuario.'; 
 
}else{ 
 
 
$query=mysql_query("SELECT * FROM prueba WHERE usuario='$_SESSION[usuario]' ");
 
if(mysql_num_rows($query)>0){
$user_ok=mysql_fetch_array($query);
 
 
 
 
//todo comprobado, ahora solo falta mostrar los datos
echo 'Bienvenid@ <b>'.$user_ok['usuario'].'</b><br>'; 
 
}else{
 
echo 'La id de usuario seleccionada no existe';
}
}
 
 
if($_POST['submit']=='EDITAR PERFIL')
{
 
   $err=array();
 
if(strlen($_POST['firstname'])>100)
{
    $err[]='Tu(s) nombre(s) debe tener menos de 100 caracteres!';
}
if(!preg_match('/[^0-9\-\_\.]+/i',$_POST['firstname']))
{
    $err[]='Tu(s) nombre(s) contiene caracteres inválidos!';
}
if(strlen($_POST['lastname'])>100)
{
    $err[]='Tu(s) apellido(s) debe tener menos de 100 caracteres!';
}
if(!preg_match('/[^0-9\-\_\.]+/i',$_POST['lastname']))
{
    $err[]='Tu(s) apellido(s) contiene caracteres inválidos!';
}
 
    if(preg_match ("/[;<>&]/", $_POST['informacion_adicional']))
    {
        $err[]="Tu 'informacion adicional' no puede tener caracteres especiales (ej & ; < >)";
        
    }
    
    if(!count($err))
    {
        //Si no hay errores
        
        $_POST['firstname']=mysql_real_escape_string($_POST['firstname']);
        $_POST['lastname']=mysql_real_escape_string($_POST['lastname']);
        $_POST['informacion_adicional']=mysql_real_escape_string($_POST['informacion_adicional']);
        
        
        if(count($err))
            {
                $_SESSION['msg']['reg-err']=implode('<br />',$err);
            }
                
    header("Location: index.php");
    exit;
        
            
    }
    }
 
//introducimos la modificacion hecha por el usuario
 
 
$firstname=$_POST['firstname']; 
$lastname=$_POST['lastname'];
$infoadicional=$_POST['informacion_adicional'];
 
 
 
 
mysql_query("
UPDATE prueba
SET firstname='$firstname',lastname='$lastname', informacion_adicional='$infoadicional'
WHERE usuario='$_SESSION[usuario]'  ");
 
 
 
 
 
?>