[SOLUCIONADO] insertar datos a la bd

boistoc · #1 (**permalink**) 15/03/2017, 13:41

Hola buen día.
Tengo un problema que espero puedan ayudarme a resolverlo je
Tengo una función para que se escapen los valores y evitar amenazas en mi web:

Código PHP:

Ver originalfunction Security($x) {
        $x = trim($x);
        $x = stripslashes($x);
        $x = htmlspecialchars($x);
        return $x;
    }

El problema es que al insertarlo a la bd no se inserta nada:

Código PHP:

Ver original$MySQLi->query("INSERT INTO comments (Comment) VALUES ('".Security($_POST['comment'])."'");

¿Saben que es lo que esta ocasionando este error?
Gracias de antemano

sustentio · #2 (**permalink**) 15/03/2017, 13:47

¿que error te produce?, intenta ejecutar el sql directo en la DB

petit89 · #3 (**permalink**) 15/03/2017, 13:49

VALUES ('".Security($_POST['comment'])."')");

Pues te falta un parentesis que cierra el parametro de variables pero... no se si esta del todo bien que ejecutes esa funcion en el query directamente, para mi mejor almacenarla en variable y mandar esta al query

Código PHP:

Ver original$procesa = Security($_POST['comment']);
$MySQLi->query("INSERT INTO comments (Comment) VALUES ('".$procesa."')");

boistoc · #4 (**permalink**) 15/03/2017, 13:58

Cita:

Iniciado por petit89

VALUES ('".Security($_POST['comment'])."')");

Pues te falta un parentesis que cierra el parametro de variables pero... no se si esta del todo bien que ejecutes esa funcion en el query directamente, para mi mejor almacenarla en variable y mandar esta al query

Código PHP:

Ver original$procesa = Security($_POST['comment']);
$MySQLi->query("INSERT INTO comments (Comment) VALUES ('".$procesa."')");

Oh si, Lo coloque mal pero sigue sin insertar nada

Código PHP:

Ver original$procesa = Security($_POST['comment']);
$MySQLi->query("INSERT INTO comments (Comment) VALUES ('".$procesa."')");

Acabo de realizar un echo para ver si me mostraba algo y en efecto, se muestra $procesa bien pero no lo inserta en la bd

boistoc · #5 (**permalink**) 15/03/2017, 13:59

Cita:

Iniciado por sustentio

¿que error te produce?, intenta ejecutar el sql directo en la DB

No inserta el POST en la bd, si se inserta bien el sql directo pero siento que es cosa de la función o algo porque no lo inserta desde la web

petit89 · #6 (**permalink**) 15/03/2017, 14:13

Y si pones:

Código PHP:

Ver original$MySQLi->query("INSERT INTO comments (Comment) VALUES ('esto es una prueba')");

te guarda? si no te guarda tendras que revisar conexion, nombres de campos correctamente escritos...

boistoc · #7 (**permalink**) 15/03/2017, 14:37

Cita:

Iniciado por petit89

Y si pones:

Código PHP:

Ver original$MySQLi->query("INSERT INTO comments (Comment) VALUES ('esto es una prueba')");

te guarda? si no te guarda tendras que revisar conexion, nombres de campos correctamente escritos...

Si, eso si lo guarda Pero no entiendo porque al pasarlo por la función es que no lo guarda, incluso al colocarle un echo si mostro correctamente el POST pero no lo guardo

boistoc · #8 (**permalink**) 15/03/2017, 14:44

Creo que si era error de la función le he agregado un str_replace para que me transforme las comillas simples en comillas normales, como dije es para evitar los ataques a la web, lo dejo por si a alguien le es de utilidad:

Código PHP:

Ver originalpublic static function Security($x) {
        $x = trim($x);
        $x = stripslashes($x);
        $x = htmlspecialchars($x);
        $x = str_replace("'", '"', $x);
        return $x;
    }

Y gracias por su tiempo y apoyo, un saludo

xerifandtomas · #9 (**permalink**) 15/03/2017, 19:56

No entiendo la necesidad de crear esa función que realmente no te va a proteger de una injeccion cuando php ya proporciona métodos para tal fin: real_escape_string