envio de parámetros

andinistas · #1 (**permalink**) 06/09/2004, 14:27

Hola tengo una duda con respeccto a un formulario de búsqueda a la cual el ACTION del form le tengo un archivo .php cuya función es mostrar los resultados de una búsqueda

pero hoy se me ocurrio meter en el campo de texto antes de buscar una orden SELECT * FROM TABLA y mi aplicación se ha reventado, el código que tengo es el siguiente

Código PHP:

  $titulo_articulo= $_GET[txt_titulo_articulo];

 
//consulta SQL

$_pagi_sql = ("SELECT * FROM noticias WHERE titulo_articulo LIKE '%$titulo_articulo%' ORDER BY fechapub DESC");

osea el enviar desde el form en metodo GET la variable titulo_articulo, se hace una busqueda en el SQL, pero si yo ingreso una orden SQL en el campo de busqueda en el formulario, en el procesado del php obtengo un error de mysql

se puede validar eso tipo de ingreso que solo sea texto.

José Molina · #2 (**permalink**) 06/09/2004, 14:44

Saludos.

Prueba con lo siguiente:

Código PHP:

  $pagi_sql = "SELECT * FROM noticias WHERE titulo_articulo LIKE '".%$titulo_articulo."%' ORDER BY fechapub DESC";

Creo que puede ser eso, porque no se cual es el error que te arroja.

Suerte

andinistas · #3 (**permalink**) 06/09/2004, 15:05

Ok como me dices pues esta bien, pero yo lo que trato de decir es lo siguiente

supongamos que despues de haber presionado el boton buscar la variable $titulo_articulo contenga el valor de la siguiente forma

$titulo_articulo = "SELECT * from noticias";

y que al consultar

Código PHP:

   $pagi_sql = "SELECT * FROM noticias WHERE titulo_articulo LIKE '".%SELECT * from noticias%."' ORDER BY fechapub DESC";

no me dé error---

si yo ingreso puro texto, pues bien nada de errores

pero si yo ingreso una consulta SQL dentro del area de texto y le doy buscar no me tiene que salir error, me tiene que salir

0 artículos encontrados con el criterio SELECT * from noticias, si me entiendes??

lo que comento es por seguridad y quiero validar todo eso tipo de errores

Cluster · #4 (**permalink**) 07/09/2004, 12:16

Parece ser que tienes problemas con las comillas dobles que usas en tu cadena ..

No sé si usas "magic_quote_gpc" a ON en tu configuración de PHP .. eso de por sí añade unos "slash" a tus " quedando "escapadas" tipo:

\"SELECT * FROM tabla\" para que no tengas problemas ..

Si eso no lo hace por configuración puedes usar:

addslashess() antes de efectuar tu $sql .. o usar mysql_escape_string() (que hace lo mismo)

Código PHP:

  $_pagi_sql = "SELECT * FROM noticias WHERE titulo_articulo LIKE '%".mysql_escape_string($titulo_articulo)."%' ORDER BY fechapub DESC";

(los parentesis sobran .. )

Un saludo,