Foros del Web - Ver Mensaje Individual - Problema al obtener datos de Mysql con GET por mal orden

danibabasalom · #53 (**permalink**) 06/09/2013, 08:50

Por ejemplo, si aqui quisiese mejorar la seguridad deberia cambiar los vars por mysql_real_escape_string(variable)

Código PHP:

Ver original<?php
include ('db-cnx.php');
if(isset($_POST['enviar']) && $_POST['enviar'] == 'Enviar')
{
   if(!empty($_POST['Not_titulo']) && !empty($_POST['Not_texto']) && !empty($_POST['Not_categoria_ID']))
   { 
        $Titulo = $_POST['Not_titulo'];
        $Texto = $_POST['Not_texto'];
        $CategoriaID = $_POST['Not_categoria_ID'];
        $SQL_nueva_noticia = mysql_query("INSERT INTO noticias (Not_titulo, Not_texto, Not_categoria_ID, Not_fecha) VALUES ('$Titulo', '$Texto', '$CategoriaID', NOW())", $db_link) or die(mysql_error());
        echo "La noticia fue almacenada correctamente.";
   }
   else
   {
        echo "Debe llenar todos los campos para guardar la noticia";
    }
}
?>
 
 
<form name="Noticia" action="<?php $_SERVER['PHP_SELF'];?>" method="post">
    <p>Título de la Noticia<br>
        <input type="text" name="Not_titulo" size="50">
    </p>
    <p>Texto de la Noticia<br>
        <textarea name="Not_texto" rows="10" cols="50"></textarea>
    </p>
    <p>Categoría<br>
        <select name="Not_categoria_ID">
            <?php
                $SQL_pregunta_cat = mysql_query("SELECT * FROM categorias", $db_link) or die(mysql_error);
                while($Cat_celda = mysql_fetch_array($SQL_pregunta_cat))
                {
                    echo "<option value='$Cat_celda[Cat_ID]'>$Cat_celda[Cat_nombre]</option>";
                }
            ?>
        </select>
    </p>
    <p>
        <input type="submit" name="enviar" value="Enviar">
    </p>
</form>

Osea, quedaria asi?

Código PHP:

Ver original<?php
include ('db-cnx.php');
 
$Not_POST_titulo = ! empty($_POST['Not_titulo']) ? mysql_real_escape_string($_POST['Not_titulo']) : NULL; 
$Not_POST_texto = ! empty($_POST['Not_texto']) ? mysql_real_escape_string($_POST['Not_texto']) : NULL; 
$Not_POST_cat_ID = ! empty($_POST['Not_categoria_ID']) ? mysql_real_escape_string($_POST['Not_categoria_ID']) : NULL; 
if(isset($_POST['enviar']) && $_POST['enviar'] == 'Enviar')
{
   if(!empty($Not_POST_titulo) && !empty($Not_POST_texto) && !empty($Not_POST_cat_ID))
   { 
        $Titulo = $_POST['Not_titulo'];
        $Texto = $_POST['Not_texto'];
        $CategoriaID = $_POST['Not_categoria_ID'];
        $SQL_nueva_noticia = mysql_query("INSERT INTO noticias (Not_titulo, Not_texto, Not_categoria_ID, Not_fecha) VALUES ('$Titulo', '$Texto', '$CategoriaID', NOW())", $db_link) or die(mysql_error());
        echo "La noticia fue almacenada correctamente.";
   }
   else
   {
        echo "Debe llenar todos los campos para guardar la noticia";
    }
}
?>
 
 
<form name="Noticia" action="<?php $_SERVER['PHP_SELF'];?>" method="post">
    <p>Título de la Noticia<br>
        <input type="text" name="Not_titulo" size="50">
    </p>
    <p>Texto de la Noticia<br>
        <textarea name="Not_texto" rows="10" cols="50"></textarea>
    </p>
    <p>Categoría<br>
        <select name="Not_categoria_ID">
            <?php
                $SQL_pregunta_cat = mysql_query("SELECT * FROM categorias", $db_link) or die(mysql_error);
                while($Cat_celda = mysql_fetch_array($SQL_pregunta_cat))
                {
                    echo "<option value='$Cat_celda[Cat_ID]'>$Cat_celda[Cat_nombre]</option>";
                }
            ?>
        </select>
    </p>
    <p>
        <input type="submit" name="enviar" value="Enviar">
    </p>
</form>