como validar un nombre de usuario que tenga comillas y otros caracteres?

RichBoy · #1 (**permalink**) 31/05/2011, 19:00

si el nombre de ususario lleva comillas y otrs caracteres

ej: '":?}{+_)(*USUARIO&^%$#@!=-|]'

como validamos esto a la hora de un login?
y, o como se deveria insertar en la base de datos este tipo de caracteres a la hora de un registro?

Código PHP:

Ver original$usuario=mysql_real_escape_string($_POST['user']); 
$pass=mysql_real_escape_string($_POST['pass']); 
 
$query = sprintf("SELECT * FROM usuarios WHERE usuario='%s' AND pass='%s'",
            mysql_real_escape_string($usuario),
            mysql_real_escape_string($pass));
            $result=mysql_query($query);
if ($row = mysql_fetch_array($result))
{ echo "ENTRAS";}else{echo "No entras";}    
}

carlos_belisario · #2 (**permalink**) 31/05/2011, 19:10

con expresiones regulares aca un aporte que habla de estas
http://www.forosdelweb.com/f18/aport...s-pcre-646110/, saludos

RichBoy · #3 (**permalink**) 31/05/2011, 19:51

bueno no entendi del todo la respuesta carlos, lo que pasa que si un usuario se quiere registrar con un nombre de usuario que lleve comillas, como se inserta este en la base de datos?

ejemplo nombre de usuario: '~carlos~'

que, como lo guardarias en la base de datos?

\'~carlos~\' ???
'~carlos~' ???

carlos_belisario · #4 (**permalink**) 31/05/2011, 19:57

personalmente no dejo que coloquen ese tipo de carácteres especiales en los nombres de usuarios por eso te dije lo de las expresiones regulares, ahora que si deseas que se permitan ese tipo de caracteres (cosa que no es aconcejable desde mi punto de vista) puedes utilizar mysql_real_scape_string que te escapa los caracteres especiales al momento de hacer el insert, saludos

RichBoy · #5 (**permalink**) 31/05/2011, 20:12

si, yo tampoco quisiera pero me gustaria dar la opcion, entonces no se si puedas explicarme cual es la diferencia de poner mysql_real_escape_string fuera de la consulta y dentro de la misma, o repetirla? como en el codigo de abajo

Código PHP:

Ver original$usuario=mysql_real_escape_string($_POST['user']); 
$pass=mysql_real_escape_string($_POST['pass']); 
 
$query = sprintf("SELECT * FROM usuarios WHERE usuario='%s' AND pass='%s'",
            mysql_real_escape_string($usuario),
            mysql_real_escape_string($pass));
            $result=mysql_query($query);
if ($row = mysql_fetch_array($result))
{ echo "ENTRAS";}else{echo "No entras";}    
}