15/07/2012, 06:30
| ||||
| ||||
| Escapar cadena antes de INSERT Hola, ando un poco perdido. Tengo un texto que quiero insertar en una base de datos. En ese texto pueden aparecer comillas simples y dobles y todo tipo de caracteres especiales. He estado leyendo las diferentes funciones de PHP para escapar los caracteres pero no me queda claro cuál usar: - mysql_real_escape_string - mysqli_real_escape_string - mysql_escape_string - mysqli_escape_string - htmlspecialchars - addslashes  |
|
19/07/2012, 02:55
| ||||
| ||||
| Respuesta: Escapar cadena antes de INSERT No es para una consulta realmente. Lo que tengo que hacer es preparar primero el campo (escaparlo) para después, una vez ya escapado, hacer un INSERT y meterlo en la base de datos. Cuál sería la función más adecuada a utilizar? Graciasss |
|
19/07/2012, 10:24
| |||
| |||
| Respuesta: Escapar cadena antes de INSERT usa strip_tags o htmlentities o htmlspecialchars tambien es segun que variable y que deseas escapar y despues en la consulta ya usas mysql_real_escape_string y si quieres lo combinas con addslashes o stripslashes |
|
19/07/2012, 14:41
| ||||
| ||||
| Respuesta: Escapar cadena antes de INSERT ya uso strip_tags pero eso es para quitar las tags html, lo que quiero es escapar caracteres especiales antes del INSERT, como por ejemplo las comillas simples o dobles. aún sigo dudando qué es mejor.  |
|
19/07/2012, 14:44
| ||||
| ||||
| Respuesta: Escapar cadena antes de INSERT |
|
19/07/2012, 14:50
| |||
| |||
| Respuesta: Escapar cadena antes de INSERT haber paso a paso mysql_real_escape_string() llama a la función mysql_real_escape_string de la biblioteca de MySQL, la cual antepone barras invertidas a los siguientes caracteres: \x00, \n, \r, \, ', " y \x1a. mysql_real_escape_string — Escapa caracteres especiales en un string para su uso en una sentencia SQL http://php.net/manual/es/function.my...ape-string.php stripslashes — Quita las barras de un string con comillas escapadas Devuelve un string con las barras invertidas retiradas. (\' se convierte en ' y así sucesivamente.) Barras invertidas dobles (\\) se convierten en una sencilla (\). http://es.php.net/manual/es/function.stripslashes.php addslashes — Añade barras invertidas a una cadena Devuelve una cadena con barras invertidas delante de los carácteres que necesitan escaparse en situaciones como consultas de bases de datos, etc. Los carácteres que se escapan son la comilla simple ('), comilla doble ("), barra invertida (\) y NUL (el byte NULL). http://es.php.net/manual/es/function.addslashes.php strip_tags — Retira las etiquetas HTML y PHP de un string http://es.php.net/manual/es/function.strip-tags.php htmlentities — Convierte todos los caracteres aplicables a entidades HTML http://es.php.net/manual/es/function.htmlentities.php htmlspecialchars — Convierte caracteres especiales en entidades HTML '&' (et) se convierte en '&' '"' (comillas dobles) se convierte en '"' cuando ENT_NOQUOTES no está establecido. "'" (comilla simple) se convierte en ''' (o ') sólo cuando ENT_QUOTES está establecido. '<' (menor que) se convierte en '<' '>' (mayor que) se convierte en '>' http://es.php.net/manual/es/function...ecialchars.php Última edición por webankenovi; 19/07/2012 a las 15:00 |
|
19/07/2012, 16:16
| ||||
| ||||
| Respuesta: Escapar cadena antes de INSERT Muchas gracias, las explicaciones son muy buenas y detalladas pero... el tema es que no sé cuál es la mejor. Es decir tengo un texto con <b> <font size...>, ' " ¿ ? & y demás "fauna" de caracteres. Los tengo que convertir en "texto normal" (plano o no) o algo parecido para insertarlo en la base de datos y después mostrarlo. No quiero almacenar tags html por lo que tengo claro que necesito hacer strip_tags pero... luego? Necesito convertir ese texto (que puede tener comillas simples, dobles, ?¿, !, @, &, ñ... cualquier cosa) en algo que pueda meter en la base de datos y luego sacar y mostrarlo sin problema. Qué función podría ser la más efectiva? $mitexto=strip_tags($mitexto); // esto es seguro $mitexto=WHAT_FUNCTION($mitexto); // esto es lo que necesito INSERT .... $mitexto........ y luego claro: SELECT... $mitexto.... |
|
19/07/2012, 16:29
| |||
| |||
| Respuesta: Escapar cadena antes de INSERT vale haber entonces suponiendo que quieres introducir algo asi $STRING = '<b> "HOLA MUNDO" </b>'; // muestra <b>"hol@ mundo"</b> codigo fuente $STRING = htmlspecialchars('<b>"hol@ mundo"</b>',ENT_QUOTES); // muestra <b>"hol@ mundo"</b> codigo fuente entonces ya lo guardamos en la bd haciendo antes un mysql_real_escape_string y a la hora de mostrarlo nuevamente traido de la bd $STRING = htmlspecialchars_decode($campo_de_la_bd,ENT_QUOTES ); // muestra nuevamente <b>"hol@ mundo"</b> espero te sriva |
|
20/07/2012, 01:12
| ||||
| ||||
| Respuesta: Escapar cadena antes de INSERT Creo que no nos entendemos aún al 100% ;) Tengo esto:
Código PHP:
Ver original hago esto (esto seguro que lo hago):
Código PHP:
Ver original Ahora que tengo el string sin etiquetas HTML, tengo que escapar las comillas y resto de caracteres raros con alguna función: $mitexto=WHAT_FUNCTION($mitexto); // esto es lo que necesito Luego hago el insert: INSERT .... $mitexto........ y luego claro, lo saco: SELECT... $mitexto.... |
|
21/07/2012, 02:48
| ||||
| ||||
| Respuesta: Escapar cadena antes de INSERT Lo de WHAT_FUNCTION me refiero a qué función debería usar de PHP para que me escapar comillas y demás caracteres "raros". Por ahora he empezado a usar mysql_real_escape_string pero no estoy seguro de estar haciéndolo bien. Veo que hay muchas opciones y me imagino que dependerá de múltiples situaciones el uso de unas u otras porque aún no está claro cuál he de usar. Lo de PDO y PreparedStatements, he estado mirando y se me escapa un poco a mis limitados conocimientos. De todas formas gracias! |
|
21/07/2012, 12:32
| ||||
| ||||
| Respuesta: Escapar cadena antes de INSERT Es sencillo usar PDO:
Código PHP:
Ver original |
| Etiquetas: |
