Consultar por medio de variables de session datos guardados con make_safe

JessicaTJ · #1 (**permalink**) 04/11/2009, 13:36

Hola chicos, una preguntita que me tiene hecha bolas xD

Veran, actualizo y guardo datos con funcion de make_safe.

Cuando guardo algo como 5'" el make safe lo ke me hace es convertirlo a

Código:

5 \\ &# 039; &quot;

(sin espacios)

Cuando consulto en pantalla por medio de sesion, lo cual hago asi:

Código PHP:

<?php echo $data['field']; ?>

Y llamo al campo que se guardo con el valor de

Código:

5 \\ &# 039; &quot;

(sin espacios), lo ke me hace es "actualizarme" ese usuario y ponerle en blanco todos los campos en la base de datos (de alguna forma que aun no logro descubrir porke), y lo ke kiero es ke me muestre de nuevo 5'" y todos los demas campos con sus respectivos datos.

Mi consulta es, como hago para imprimir los datos en pantalla para que no me ponga en blanco todos los campos de datos?

El make_safe que utilizo es:

Código PHP:

  function make_safe($variable) {
    $variable = htmlentities($variable, ENT_QUOTES);
      if (get_magic_quotes_gpc()) { 
       $variable = stripslashes($variable); 
    }
      $variable = mysql_real_escape_string(trim($variable));
     $variable = strip_tags($variable);
    $variable = str_replace("
", "", $variable);
     return $variable;
}

Gracias chicos

abimaelrc · #2 (**permalink**) 04/11/2009, 13:40

Trata solamente usando mysql_real_escape_string al insertar en la base de datos. Luego nos dejas saber como te fue.

JessicaTJ · #3 (**permalink**) 04/11/2009, 13:51

Gracias abimaelrc

Lo deje asi:

Código PHP:

  function make_safe($variable) {
      $variable = mysql_real_escape_string(trim($variable));
     return $variable;
}

Y parece que ahi esta trabajando ya bien, pero ahora 2 preguntitas mas, esa funcion tambien la uso para escapar variables pasadas por URL, es seguro dejarlo asi nada mas? Y porke no funciono con la otra funcion de make_safe?

Gracias de nuevo

EDIT 2
Nop, sigue sin funcionar, igual me regresa los campos a blanco

Revise la BDD y guarda pero como a los 5 segundos me pasa los campos a blanco

(eso probando colocando algo asi: 'O 1=1 # simulando un atake SQL)

abimaelrc · #4 (**permalink**) 04/11/2009, 13:57

¿Que deseas verifiar exactamente?

JessicaTJ · #5 (**permalink**) 04/11/2009, 14:00

Cita:

Iniciado por abimaelrc

¿Que deseas verifiar exactamente?

El porke misteriosamente me "actualiza" todos los campos en la BDD y me los pone en blanco, no es un compartamiento "normal" que haga eso y lo mas ke se pueda evitar atakes de inyeccion SQL

abimaelrc · #6 (**permalink**) 04/11/2009, 14:07

Vas a tener que usar una condicion y ver si estan vacios los campos antes de hacer la consulta o añadir informacion. Ejemplo

Código php:

Ver originalif(!empty($_POST["campo1"]) && !empty($_POST["campo2"])){
//aqui va la consulta.
}

JessicaTJ · #7 (**permalink**) 04/11/2009, 14:11

Sip, pero si introducen algo como inyeccion SQL, lo ke me gustaria es que con la funcion me bloke y convierta los caracteres especiales propios de SQL

kike00 · #8 (**permalink**) 04/11/2009, 14:20

Código php:

Ver originalfunction make_safe($variable) {
      $variable = mysql_real_escape_string(trim($variable));
     return $variable;
} 
 
if(!empty($_POST["campo1"]) && !empty($_POST["campo2"])){
      $campo1 = make_safe($_POST["campo1"]);
      $campo2 = make_safe($_POST["campo2"]);
      //aqui va la consulta.
}

a que te refieres con que se te bloke ?

JessicaTJ · #9 (**permalink**) 04/11/2009, 14:27

Cita:

Iniciado por kike00

a que te refieres con que se te bloke ?

Sip, me refiero a ke bloke el atake SQL o al menos haga mucho mas dificil intentarlo