¿Como escapar comillas simples para que no generen errores en consulta?

MeDxEc · #1 (**permalink**) 16/01/2014, 09:33

Buenas, tengo un pequeño pero MUY molesto problema. Tengo un textarea que guarda en la base de datos MySQL todo su contenido, el problema que tengo es que si dentro de él uso una comilla simple (') genera error en SQL.

¿Como puedo hacer para "escapar" esta comilla simple pero sin alterar el resultado final en la impresión? Muchas gracias.

jonni09lo · #2 (**permalink**) 16/01/2014, 09:41

Para escapar caracteres en PHP debes de usar la contrabarra \

Saludos

MeDxEc · #3 (**permalink**) 16/01/2014, 09:49

Hola... Sí, esto lo sé... Te explico el flujo que siguen los datos:

Código Flujo:

Ver originalTextarea --> Action del formulario que procesa el query --> Base de datos
 
Base de datos --> Query llamando los datos --> Impresión de variables

¿Ves? ¿Como los puedo escapar si lo que imprimo es una variable que es traída mediante un array desde la BD? :s

jonni09lo · #4 (**permalink**) 16/01/2014, 09:53

Pues como quieres que adivinemos si no eres especifico

Usa prepare de PDO

ó

Usa mysqli_real_escape_string si usas mysqli

Hay una similar para las funciones de mysql_* pero no la coloco ya que está obsoleta

Saludos

MeDxEc · #5 (**permalink**) 16/01/2014, 09:56

¿Y como funciona dicha función para escapar una sola comilla simple? x__x Por lo que veo la función escapa las variables, sí, pero ¿como determino el caracter que deseo? No veo algo como eso en la documentación de PHP...

gnzsoloyo · #6 (**permalink**) 16/01/2014, 10:00

Cita:

Iniciado por MeDxEc

¿Y como funciona dicha función para escapar una sola comilla simple? x__x Por lo que veo la función escapa las variables, sí, pero ¿como determino el caracter que deseo? No veo algo como eso en la documentación de PHP...

La función se encarga de escapar todos los caracteres que tienen el potencial de generar un error.
Así, por ejemplo, si existiese una contrabarra (\) como aprte del texto, también se la escapa.
En otras palabras: Tu no lo determinas. El analisisi que hace la función lo realiza.

jonni09lo · #7 (**permalink**) 16/01/2014, 10:00

Te es familiar el término SQL Inyection? Si no es así te invito a investigar

Cita:

dentro de él uso una comilla simple (') genera error en SQL

Por norma debes de usar si o si las funciones que te indiqué. Igual lo que harán será escapar todos los caracteres que puedan generar conflicto en una consulta SQL, vamos que lo dice el manual

Saludos

MeDxEc · #8 (**permalink**) 16/01/2014, 10:08

Jajajaja lo siento, es que hay veces que no sé interpretar correctamente el manual y pienso que las cosas son más dificiles de lo que en realidad son x_x Además, como estoy usando aún las funciones de mysql_ y no mysqli a veces me dejo psicosear por el hecho de que esté obsoleto x_x Muchas gracias a los dos :)

MeDxEc · #9 (**permalink**) 16/01/2014, 10:13

Tengo una pequeña duda... ¿Las variables se escapan antes o después del query? Veo en la documentación que las escapan despues del query pero el query del ejemplo es un "SELECT" y el mío es un "INSERT" así que... Siguiendo la lógica diría que ¿para qué voy a escapar variables después de que se ejecuta el query? Lo correcto sería escaparlas antes del INSERT ¿no? Perdón si sueno muy noob x_x

Cabe resaltar que estoy usando la vieja función mysql_real_escape_string() y no la de mysqli o PDO.

gnzsoloyo · #10 (**permalink**) 16/01/2014, 10:20

Cita:

Iniciado por MeDxEc

Tengo una pequeña duda... ¿Las variables se escapan antes o después del query? Veo en la documentación que las escapan despues del query pero el query del ejemplo es un "SELECT" y el mío es un "INSERT" así que... Siguiendo la lógica diría que ¿para qué voy a escapar variables después de que se ejecuta el query? Lo correcto sería escaparlas antes del INSERT ¿no? Perdón si sueno muy noob x_x

Cabe resaltar que estoy usando la vieja función mysql_real_escape_string() y no la de mysqli o PDO.

Primero: ¿Te importa cómo?
La verdad, no... El cómo hace el escapado es irrelevante.

Segundo: ¿Cuándo?
Buieno, el manual es claro: Se debe aplicar la función a las variables de datos. No a la sentencia.

Tercero: ¿Es diferente hacerlo para SELECT que para INSERT?

NO. Obviamente no. Porque lo que hay que scapar es el contenido de las variables de datos que ingresan, y eso es independiente de la sentencia SQL.
Lo que no debes hacer es aplicar esa función a una variable que contenga una sentencia SQL.
Como mucho, si quieres, debes ponerla aplicada a las variables de datos que le estás incrustando:

Código PHP:

  $qry = "SELECT .... FROM ... 
WHERE XXX = ". mysql_real_escape_string($variable)." ...";

¿Se entiende?

jonni09lo · #11 (**permalink**) 16/01/2014, 10:21

por favor mira cuidadosamente bien los ejemplos que muestran allí... la verdad no es por nada pero parece que únicamente lees por leer y ni siquiera se te nota un interés real en el asunto. Aprende a tener autoiniciativa.

Ejemplo sacado de la documentación de PHP en la función mysql_real_escape_string()

Código PHP:

Ver original<?php
// Conexión
$enlace = mysql_connect('anfitrión_mysql', 'usuario_mysql', 'contraseña_mysql')
    OR die(mysql_error());
 
// Consulta
$consulta = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
            mysql_real_escape_string($usuario),
            mysql_real_escape_string($contraseña));
?>

Pregunta sencilla, donde usan mysql_query() en se ejemplo? si sabes que hace la función sprintf? y si no te quedaba claro, es difícil buscar en Google

Si, si, puede sonar un poco burdo lo que digo, pero mi intención es que te des cuenta de que investigando por ti mismo puedes encontrar mejor información y aprender cosas nuevas sin depender de lo que digan unas personas en el foro

Saludos

MeDxEc · #12 (**permalink**) 16/01/2014, 11:16

Me funciona pero no del todo, me escapa las comillas dobles (eso ya es un alivio) pero las simples no.

Este es mi código:

Código PHP:

Ver original$sql = sprintf("INSERT INTO noticias (titulo, autor, descripcion, keywords, noticia, ruta_imagen, alt_imagen, nombre_imagen, fecha) VALUES ('$titulo', '$autor', '$descripcion', '$keywords','$noticia','$ruta','$alt_imagen','$nombre_imagen', NOW())",
                    mysql_real_escape_string($titulo),
                    mysql_real_escape_string($autor),
                    mysql_real_escape_string($descripcion),
                    mysql_real_escape_string($keywords),
                    mysql_real_escape_string($noticia),
                    mysql_real_escape_string($ruta),
                    mysql_real_escape_string($alt_imagen),
                    mysql_real_escape_string($nombre_imagen));
                    
                    mysql_query($sql, $connect) or die("Error en BBD: ".mysql_error());

Y en el formulario lo estoy probando con el texto: 'escapando comillas simples' y me sale

Código MySQL:

Ver originalError en BBD: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'escapando comillas simples'', 'Andrés Buitrago', ''escapando comillas simples'.' at line 1

Los campos que maneja el formulario son (en este orden exacto): Titulo, Autor (que es un value que se obtiene mediante $_SESSION), keywords, un campo para subir imagen del tipo 'file', texto alternativo para la imágen, noticia.

Para mayor análisis coloque el nombre de cada campo junto con lo que coloqué en el input y salió esto:

Código MySQL:

Ver originalError en BBD: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'probando comillas simples titulo'', 'Andrés Buitrago', ''probando comillas simp' at line 1

¿Alguna idea? :(

gnzsoloyo · #13 (**permalink**) 16/01/2014, 11:30

Código PHP:

Ver original$sql = sprintf("INSERT INTO noticias (titulo, autor, descripcion, keywords, noticia, ruta_imagen, alt_imagen, nombre_imagen, fecha) VALUES ('$titulo', '$autor', '$descripcion', '$keywords','$noticia','$ruta','$alt_imagen','$nombre_imagen', NOW())",
mysql_real_escape_string($titulo),
mysql_real_escape_string($autor),
mysql_real_escape_string($descripcion),
mysql_real_escape_string($keywords),
mysql_real_escape_string($noticia),
mysql_real_escape_string($ruta),
mysql_real_escape_string($alt_imagen),
mysql_real_escape_string($nombre_imagen));
mysql_query($sql, $connect) or die("Error en BBD: ".mysql_error());

Ahora lo que tienes es un serio problema de entendimiento de sprintf()... estás poniendo cualquier cosa.

En serio, sin ofender. ¿Estás leyendo bien y entendiendo cómo se usan las funciones de PHP?

Código PHP:

Ver original$sql = sprintf("INSERT INTO noticias (titulo, autor, descripcion, keywords, noticia, ruta_imagen, alt_imagen, nombre_imagen, fecha) VALUES (%s, %s, %s, %s, %s, %s, %s, %s, NOW())",
mysql_real_escape_string($titulo),
mysql_real_escape_string($autor),
mysql_real_escape_string($descripcion),
mysql_real_escape_string($keywords),
mysql_real_escape_string($noticia),
mysql_real_escape_string($ruta),
mysql_real_escape_string($alt_imagen),
mysql_real_escape_string($nombre_imagen));
mysql_query($sql, $connect) or die("Error en BBD: ".mysql_error());

De lo contrario sería mas o menos:

Código PHP:

Ver original$titulo = mysql_real_escape_string($titulo);
$autor = mysql_real_escape_string($autor);
$descripcion = mysql_real_escape_string($descripcion);
$keywords = mysql_real_escape_string($keywords);
$noticia = mysql_real_escape_string($noticia);
$ruta = mysql_real_escape_string($ruta);
$alt_imagen = mysql_real_escape_string($alt_imagen);
$nombre_imagen = mysql_real_escape_string($nombre_imagen);
$sql = sprintf("INSERT INTO noticias (titulo, autor, descripcion, keywords, noticia, ruta_imagen, alt_imagen, nombre_imagen, fecha) VALUES ('$titulo', '$autor', '$descripcion', '$keywords','$noticia','$ruta','$alt_imagen','$nombre_imagen', NOW())");
mysql_query($sql, $connect) or die("Error en BBD: ".mysql_error());

MeDxEc · #14 (**permalink**) 16/01/2014, 11:56

Estoy leyendo bien. Sé para qué funciona el sprintf pero nunca me había atrevido a utilizarlo dado que cada letra al lado del % cumple determinada función ¿no?

Usé ambos códigos, el primero (no sé si no servía tal y como lo pusiste o si yo soy muy de malas) no funcionó. El segundo, que era justo como lo iba a poner antes de irme a almorzar, funcionó de maravilla.

Por eso mismo preguntaba si había que ponerlos ANTES o DESPUES del query NO DE LA EJECUCIÓN DEL MISMO. Porque al usar la lógica debería de formatear antes de insertar... Perdón por las novatadas pero ustedes son mis maestros, gracias por ello

gnzsoloyo · #15 (**permalink**) 16/01/2014, 13:43

Cita:

Sé para qué funciona el sprintf pero nunca me había atrevido a utilizarlo dado que cada letra al lado del % cumple determinada función ¿no?

Esa función está descripta en el manual:

Cita:

Un especificador de tipo que indica como que tipo deben ser tratados los datos del argumento. Los tipos posibles son:

% - un caracter de porcentaje literal. No se requiere argumento.
b - el argumento es tratado como un integer y presentado como un número binario.
c - el argumento es tratado como un integer y presentado como el caracter con ese valor ASCII.
d - el argumento es tratado como un integer y presentado como un número decimal (con signo).
e - el argumento es tratado como notación científica (e.g. 1.2e+2). El especificador de precisión indica el número de dígitos después del punto decimal a partir de PHP 5.2.1. En versiones anteriores, se tomó como el número de dígitos significativos (uno menos).
E - como %e pero utiliza la letra mayúscula (e.g. 1.2E+2).
u - el argumento es tratado como un integer y presentado como un número decimal sin signo.
f - el argumento es tratado como un float y presentado como un número de punto flotante (consciente de la configuración regional).
F - el argumento es tratado como un float y presentado como un número de punto flotante (no consciente de la configuración regional). Disponible desde PHP 4.3.10 y PHP 5.0.3.
g - más corto de %e y %f.
G - más corto de %E y %f.
o - el argumento es tratado como un integer y presentado como un número octal.
s - el argumento es tratado y presentado como un string.
x - el argumento es tratado como un integer y presentado como un número hexadecimal (con las letras en minúsculas).
X - el argumento es tratado como un integer y presentado como un número hexadecimal (con las letras en mayúsculas).

El primer ejemplo del mismo manual sería:

Cita:

Ejemplo #1 Intercambio de argumentos

Código PHP:

Ver original<?php
$num = 5;
$location = 'tree';
 
$format = 'There are %d monkeys in the %s';
echo sprintf($format, $num, $location);
?>

Esto producirá "There are 5 monkeys in the tree". Pero imaginemos que estamos creando un string de formato en un archivo separado, generalmente por que nos gustaría internacionalizarlo y lo reescribimos así:

El primer ejemplo que te puse era una trampa de Copy+Paste... y copiaste sin revisar si estaba bien escrito, o analizar el codigo en base al manual.
Vuelve a mirarlo y luego corrigelo.

Si quieres la clave, toma este ejemplo y ejecutalo:

Código PHP:

 
 <?php
$num = 5;
$location = "tree's";
$location = addslashes($location);

$format = "There are %d monkeys in the '%s'";
echo sprintf($format, $num, $location);
?>

Si ves como resulta, entenderás cómo deberías usar el segundo ejemplo que te pasé.

MeDxEc · #16 (**permalink**) 17/01/2014, 00:17

Les hago caso y posteo mi primer código con sprintf... Como no, con errores. Echenle un ojo:

Código PHP:

Ver original<?php
 
            if (isset($_SESSION['nivel'])) {
                $titulo = $_POST['titulo'];
                $autor = $_POST['autor'];            
                $select_cat = $_POST['select_cat'];
                $select_cat = str_replace(" ", "_", $select_cat);
                
                $txt_alt = $_POST['txt_alt'];
                $nombre_imagen = $_FILES['imagen']['name'];
                $nombre_imagen = str_replace(" ", "_", $nombre_imagen);
                $nombre_imagen = str_replace("?", "_", $nombre_imagen);
                $nombre_imagen = str_replace("¿", "_", $nombre_imagen);
                $nombre_imagen = str_replace("-", "_", $nombre_imagen);
                $nombre_imagen = str_replace("¡", "_", $nombre_imagen);
 
 
                if (empty($titulo) ||   empty($autor) || empty($select_cat) ||     empty($txt_alt)) {
                    echo '
                        <div class="container">
                            <div class="center-block logig-form">
                                <div class="panel panel-default">
                                    <div class="panel-heading">Error</div>
                                    <div class="panel-body">                                
                                        <p>Debes llenar todos los campos, por favor, <a href="javascript:history.back(1)">vuelve</a>  e intentelo nuevamente.</p>                        
                                    </div>
                                </div>
                            </div>
                        </div> <!-- container  -->
                    ';
                }else{
 
                    $carpeta = "img/imagenes/".$select_cat."/"."titulo"."/";
                    mkdir($carpeta);
                    $destino = $carpeta.$_FILES['imagen']['name'];
                    
                    copy($_FILES['imagen']['tmp_name'],$destino);
 
                    echo '<img src="'.$destino.'">';
 
                    if ($select_cat==='General') {
                    
                        $sql = sprintf("INSERT INTO imagenes_general (titulo, autor, txt_alt, ruta, fecha) VALUES ('%s', '%s', '%s', '%s', NOW())",mysql_real_escape_string($titulo),mysql_real_escape_string($autor),mysql_real_escape_string($txt_alt),mysql_real_escape_string($destino));
                        mysql_query($sql,$connect);
                        echo 'yay';
 
 
                    }elseif ($select_cat === 'Distrito_comico') {
 
                        $sql = sprintf("INSERT INTO imagenes_distrito_comico (titulo, autor, txt_alt, ruta, fecha) VALUES ('%s', '%s', '%s', '%s', NOW())",mysql_real_escape_string($titulo),mysql_real_escape_string($autor),mysql_real_escape_string($txt_alt),mysql_real_escape_string($destino));
                        echo $sql;
                        mysql_query($sql,$connect);
                        echo 'Yay';
 
                    
                    }else{
                        echo 'Error en la base de datos '.mysql_error();
                    };
                }
            }
 
 
 
 
        ?>

El código se ejecuta de maravilla, imprimí los querys y se muestran tal y como debe ser, el problema es que no registra en la base de datos.

Esta es una página diferente a la que comentaba en anteriores mensajes pero me pareció bueno hacer el paralelo. ¿Alguna idea de por qué no escribe en la BD? Cabe resaltar que no bota error, tan solo no escribe.

Gracias :)

Una cosita... Leí por ahí que el uso de sprintf aumenta la seguridad del sitio ¿es esto cierto? ¿qué tiene de diferente a hacerlo de "la manera tradicional"?

gnzsoloyo · #17 (**permalink**) 17/01/2014, 03:44

Seré curioso... pero...
¿Dónde estás abriendo la conexión a la base en MySQL?

Yo no lo veo.

MeDxEc · #18 (**permalink**) 17/01/2014, 05:11

La conexión está abierta en un include al inicio de la pagina. Junto con session_start()

MeDxEc · #19 (**permalink**) 17/01/2014, 05:14

Oh, y otra cosa... Ayer hice lo que dijiste de mysql_real_escape_string y no me está escapado todos los caracteres, también me pone problemas al guardar un % :(

gnzsoloyo · #20 (**permalink**) 17/01/2014, 06:10

¿Y al menos te fijaste que en la prueba que te postee en lugar de esa función (que depende de la conexión), usé addslashes()?

¿Intentaste hacer una prueba por fuera de tu script, creando otro explusivamente para verificar la construcción de la sentencia?

¿Cópmo queda escrita esa sentencia en la variable $sql?
Postea eso.

A mi entender estás escribiendo un código inútilmente complicado...
Trata de simplificarlo y hacerlo por etapas de modo que sea visible en qué punto se generan los errores.

Procesa primero lo que contienen las variables con addslashes() y luego usa las variables directamente.

Yo, al menos, reemplazaría esto:

Código PHP:

  mysql_query($sql,$connect);

por esto:

Código PHP:

  mysql_query($sql,$connect) or die(mysql_error());

AL menos así sabrías qué diferencia hay entre lo que manda la sentencia y lo que recibe la base.
Aunque a mi me parece que el tema viene siendo de charset...

MeDxEc · #21 (**permalink**) 17/01/2014, 09:50

Todo estaba bien -.- El problema era, en una tabla el nombre. Y en la otra que le faltaba un campo que yo sí tenía en mi archivo SQL pero no sé como se me pasó agregarlo en la tabla. Disculpa por hacerte perder el tiempo en errores de novato y trasnochado.

Respecto a lo de addslashes() no lo agregué porque leyendo por ahí decían que era propenso a inyecciones y que dado a que era para una base de datos lo mejor era mysql_real_scape_string(), mi problema es que solo sirve con las comillas y paréntesis. Falla con los %, me dice "very few arguments in sprintf()" :l

gnzsoloyo · #22 (**permalink**) 17/01/2014, 10:43

Cita:

Falla con los %, me dice "very few arguments in sprintf()" :l

La cantidad de argumentos y la de variables no coincide.
Tiene que haber tantos parámetros con "%" como variables.

MeDxEc · #23 (**permalink**) 17/01/2014, 10:47

Pero este error se me presenta en el primer código que te envié, donde no uso los "%" sino simplemente las variables escapadas. En el segundo código no presento ningún problema. Modificaré el primero y comento que sucede ;)

Oh y respecto a lo de los % en la primera que me genera error, ¿qué puedo hacer? Estoy escapando las variables y de todas maneras me genera error y addslashes() es insegura y no es correcta para esto.

Gracias por toda la ayuda, @gnzsoloyo