[SOLUCIONADO] PHP OO Problema al obtener datos de Mysql con GET por mal orden

danibabasalom · #1 (**permalink**) 06/09/2013, 05:56

Buenas foreros, vereis, tengo un problema con mi sistema de noticias, quiero hacerlo completo con todo y me he quedado en el archivo noticia.php donde el enlace comunmente es localhost/noticia.php?id=1 pero no consigo que se me muestre la informacion, perdon por mi estupidez, pero estoy empezando con php y nose muy bien la estructura ni todas las variables, mi codigo es el siguiente:
Se mas o menos que la estructura es esta

Código PHP:

  <?php

include ('db-cnx.php');

$Not_GET_id = $_GET['id'];

$Not_where = "WHERE Not_ID ='$Not_GET_id'";

$SQL_pregunta_not = mysql_query("SELECT * FROM noticias $Not_where", $db_link) or die(mysql_error());

$Not_celda = mysql_fetch_row($SQL_pregunta_not)

mysql_fetch_array($SQL_pregunta_not){

 
  echo "<h1>$Not_celda[Not_titulo]</h1>"; echo "<h3>$Not_celda['Not_fecha']</h3>";

  echo "<h2>$Not_celda['Not_texto']";

 
 
}

 
?>

Lo que yo quiero hacer es que el titulo de la noticia(el titulo que esta en lista-noticias.php) lleve al enlace de noticia.php?id=3 y en la pagina de noticia.php me muestre los datos de la noticia 3

PHPeros · #2 (**permalink**) 06/09/2013, 06:18

Deberías incluir el archivo html que estaría puesta en la columna 'URL' de la db o algo así...

PHPeros · #3 (**permalink**) 06/09/2013, 06:23

Y te recomiendo usar la función mysql_real_escape_string(variable) para evitar cualquier inyeccion. Así con ese código que has puesto te podrían eliminar todos los archivos de tu web con 2 líneas de código. Protejan sus sitios plz

danibabasalom · #4 (**permalink**) 06/09/2013, 06:26

Cita:

Iniciado por PHPeros

Y te recomiendo usar la función mysql_real_escape_string(variable) para evitar cualquier inyeccion. Así con ese código que has puesto te podrían eliminar todos los archivos de tu web con 2 líneas de código. Protejan sus sitios plz

Y como seria utilizar eso?

PHPeros · #5 (**permalink**) 06/09/2013, 06:31

Cita:

Iniciado por danibabasalom

Y como seria utilizar eso?

Simplemente la pasas por todos los parámetros que envió el usuario:

Código:

@mysql_real_escape_string($not_GET_id);

Con esto evitas que te hackeen el sitio

Dame +1 por la info plz!

danibabasalom · #6 (**permalink**) 06/09/2013, 07:20

Cita:

Iniciado por PHPeros

Simplemente la pasas por todos los parámetros que envió el usuario:

Código:

@mysql_real_escape_string($not_GET_id);

Con esto evitas que te hackeen el sitio

Dame +1 por la info plz!

Podrias darme una explicacion, como os digo no se mucho de PHP y no se reconocer bien todos los valores ni nada

PHPeros · #7 (**permalink**) 06/09/2013, 07:25

Cita:

Iniciado por danibabasalom

Podrias darme una explicacion, como os digo no se mucho de PHP y no se reconocer bien todos los valores ni nada

Ciertamente si no sabes PHP mejor que no lo utilizes, esque tampoco tiene mas explicación...

danibabasalom · #8 (**permalink**) 06/09/2013, 07:26

Cita:

Iniciado por PHPeros

Ciertamente si no sabes PHP mejor que no lo utilizes...

ya... pero si quiero aprender a usarlo y con los manuales que hay en internet no me aclaro, tendre que aprender observando el comportamiento de los valores

jonni09lo · #9 (**permalink**) 06/09/2013, 07:34

Cita:

Iniciado por PHPeros

Ciertamente si no sabes PHP mejor que no lo utilizes, esque tampoco tiene mas explicación...

Entonces no des soluciones por las cuales no vas a explicar

mysql_real_escape_string según el manual, escapa los caracteres que pueden generar conflictos a la hora de realizar una operación mysql_real_escape_string

Me explico

Código PHP:

Ver original<?php
// No hemos comprobado $_POST['password'], ¡podría ser cualquier cosa que el usuario quisiera! Por ejemplo:
$_POST['username'] = 'aidan';
$_POST['password'] = "' OR ''='";
 
// Consultar la base de datos para comprobar si existe algún usuario que coincida
$consulta = "SELECT * FROM users WHERE user='{$_POST['username']}' AND password='{$_POST['password']}'";
mysql_query($consulta);
 
// Esto significa que la consulta enviada a MySQL sería:
echo $consulta;
 
//que retorna SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''
?>

Si ves el ejemplo anterior ya que no se escapan los caracteres correctamente un atacante puede divinamente sacarte toda la informacion de la base de datos solo porque los caracteres que provienen de la consulta no están escapados

Si se usa mysql_real_escape_string la consulta quedaria SELECT * FROM users WHERE user='aidan' AND password='\' OR \'\'=\'' evitando así que los atacantes puedan aprovecharse y sacarte informacion de la base de datos por medio de datos externos

PD: No uses las funciones mysql_* ya que estan obsoletas y se eliminaran en un futuro, usa mysqli o PDO que te dan mucho mejores herramientas y la seguridad en la bd es mejor

Saludos

xSkArx · #10 (**permalink**) 06/09/2013, 07:35

Cita:

Iniciado por PHPeros

Ciertamente si no sabes PHP mejor que no lo utilizes, esque tampoco tiene mas explicación...

En vez de decirle que no lo utilice mejor darle una pauta para aprender, ademas los puntos no se piden, por lo que veo estas igual que el user que banearon hace poco.

Al amigo del problema revisa esto

Código PHP:

Ver originalinclude ('db-cnx.php'); 
$Not_GET_id = $_GET['id']; //no verificas si la variable fue declarada o esta vacia y no escapas caracteres
$Not_where = "WHERE Not_ID ='$Not_GET_id'";
 $SQL_pregunta_not = mysql_query("SELECT * FROM noticias $Not_where", $db_link) //tienes media consulta en una variable y la otra mitad directa en mysql_query
$Not_celda = mysql_fetch_row($SQL_pregunta_not) //no cerraste la linea con ; y estas malutilizando el valor devuelto
 mysql_fetch_array($SQL_pregunta_not){//no estas asignando el resultado a una variable y la llave esta de mas
 
echo "<h1>$Not_celda[Not_titulo]</h1>"; 
echo "<h3>$Not_celda['Not_fecha']</h3
 echo "<h2>$Not_celda['Not_texto']";
 
}

Echale una mirada al manual de php.net para ver como puedes arreglar los ptoblemas

PHPeros · #11 (**permalink**) 06/09/2013, 07:38

Que profesionalidad madre mia!! No debí sacar ese tema.

jonni09lo · #12 (**permalink**) 06/09/2013, 07:40

Cita:

Iniciado por SkAr88

En vez de decirle que no lo utilice mejor darle una pauta para aprender, ademas los puntos no se piden, por lo que veo estas igual que el user que banearon hace poco.

Al amigo del problema revisa esto

Código PHP:

Ver originalinclude ('db-cnx.php'); 
$Not_GET_id = $_GET['id']; //no verificas si la variable fue declarada o esta vacia y no escapas caracteres
$Not_where = "WHERE Not_ID ='$Not_GET_id'";
 $SQL_pregunta_not = mysql_query("SELECT * FROM noticias $Not_where", $db_link) //tienes media consulta en una variable y la otra mitad directa en mysql_query
$Not_celda = mysql_fetch_row($SQL_pregunta_not) //no cerraste la linea con ; y estas malutilizando el valor devuelto
 mysql_fetch_array($SQL_pregunta_not){//no estas asignando el resultado a una variable y la llave esta de mas
 
echo "<h1>$Not_celda[Not_titulo]</h1>"; 
echo "<h3>$Not_celda['Not_fecha']</h3
 echo "<h2>$Not_celda['Not_texto']";
 
}

Echale una mirada al manual de php.net para ver como puedes arreglar los ptoblemas

Contestamos al mismo tiempo +1 buen aporte

Saludos

PHPeros · #13 (**permalink**) 06/09/2013, 07:41

Estaría bien que me banearan jaja

PHPeros · #14 (**permalink**) 06/09/2013, 07:43

Ya de paso le podías haber explicado que las credenciales de acceso a las bases de datos no se incluyen en archivos por seguridad. Eso no, esque es muy fácil replicar una vez está la idea...

danibabasalom · #15 (**permalink**) 06/09/2013, 07:45

Cita:

Iniciado por SkAr88

En vez de decirle que no lo utilice mejor darle una pauta para aprender, ademas los puntos no se piden, por lo que veo estas igual que el user que banearon hace poco.

Al amigo del problema revisa esto

Código PHP:

Ver originalinclude ('db-cnx.php'); 
$Not_GET_id = $_GET['id']; //no verificas si la variable fue declarada o esta vacia y no escapas caracteres
$Not_where = "WHERE Not_ID ='$Not_GET_id'";
 $SQL_pregunta_not = mysql_query("SELECT * FROM noticias $Not_where", $db_link) //tienes media consulta en una variable y la otra mitad directa en mysql_query
$Not_celda = mysql_fetch_row($SQL_pregunta_not) //no cerraste la linea con ; y estas malutilizando el valor devuelto
 mysql_fetch_array($SQL_pregunta_not){//no estas asignando el resultado a una variable y la llave esta de mas
 
echo "<h1>$Not_celda[Not_titulo]</h1>"; 
echo "<h3>$Not_celda['Not_fecha']</h3
 echo "<h2>$Not_celda['Not_texto']";
 
}

Echale una mirada al manual de php.net para ver como puedes arreglar los ptoblemas

Gracias, ahora mirare, ya estube mirando en php.net. los manuales de aqui, los de la w3school y me marea aun un poco.
Nose cuando tengo que abrir {} ni como funcionan muchas funciones, porque lo leo y me quedo igual (me refiero en manuales),
En un principio tendria que hacer un if comprobando si la id es empty para que memuestre un resultado u otro no? despues juntar toda la consulta y sacar los datos demiate mysql_real_escape_string? es asi no?
Gracias por vuestra ayuda

xSkArx · #16 (**permalink**) 06/09/2013, 07:46

Cita:

Iniciado por PHPeros

Que profesionalidad madre mia!! No debí sacar ese tema.

Lo que pasa es que si no quieres explicarle alguna cosa a algun user mejor ponle un link donde salga la explicacion, o sino, no respondas. Tambien el foro es para ayudar a emcontrar la soluciion a un problema no para pedir puntos ni nada pot el.estilo.

jonni09lo · #17 (**permalink**) 06/09/2013, 07:50

Cita:

Iniciado por SkAr88

Lo que pasa es que si no quieres explicarle alguna cosa a algun user mejor ponle un link donde salga la explicacion, o sino, no respondas. Tambien el foro es para ayudar a emcontrar la soluciion a un problema no para pedir puntos ni nada pot el.estilo.

Don't feed the troll, este tipo de usuarios esto es lo que busca, concentremonos en el problema del amigo y dejemos a un lado el intento de troll

Cita:

Iniciado por danibabasalom

Gracias, ahora mirare, ya estube mirando en php.net. los manuales de aqui, los de la w3school y me marea aun un poco.
Nose cuando tengo que abrir {} ni como funcionan muchas funciones, porque lo leo y me quedo igual (me refiero en manuales),
En un principio tendria que hacer un if comprobando si la id es empty para que memuestre un resultado u otro no? despues juntar toda la consulta y sacar los datos demiate mysql_real_escape_string? es asi no?
Gracias por vuestra ayuda

Claro lo principal es primero verificar que se envie la variable, luego que esta tenga un valor correcto, luego escaparla antes de ejecutarla en la base de datos

Saludos

PHPeros · #18 (**permalink**) 06/09/2013, 07:52

Cita:

Iniciado por jonni09lo

Don't feed the troll, este tipo de usuarios esto es lo que busca, concentremonos en el problema del amigo y dejemos a un lado el intento de troll

Claro lo principal es primero verificar que se envie la variable, luego que esta tenga un valor correcto, luego escaparla antes de ejecutarla en la base de datos

Saludos

Jaja ejecutarla en la base de datos??? Eso no tiene sentido, solo queda profesional xDD

danibabasalom · #19 (**permalink**) 06/09/2013, 07:57

Para el mysql_real_escape_string seria asi?
mysql_real_escape_string($_GET['id'])

jonni09lo · #20 (**permalink**) 06/09/2013, 07:57

Ups, se me fue, quise decir, y después si ejecutar la consulta en la base de datos.

Gracias por la corrección

Saludos

PHPeros · #21 (**permalink**) 06/09/2013, 07:57

Cita:

Iniciado por danibabasalom

Para el mysql_real_escape_string seria asi?
mysql_real_escape_string($_GET['id'])

Correcto

xSkArx · #22 (**permalink**) 06/09/2013, 07:59

Asi verificas si la variable fue declarada o no

$id = ! empty($_GET['id']) ? $_GET['id'] : NULL;

PHPeros · #23 (**permalink**) 06/09/2013, 07:59

Cita:

Iniciado por jonni09lo

Ups, se me fue, quise decir, y después si ejecutar la consulta en la base de datos.

Gracias por la corrección

Saludos

Solo afecta a la concatenación y no a la base de datos...

jonni09lo · #24 (**permalink**) 06/09/2013, 08:01

Cita:

Iniciado por danibabasalom

Para el mysql_real_escape_string seria asi?
mysql_real_escape_string($_GET['id'])

No, deberias guardar el escape en una variable

Código PHP:

Ver original$id = mysql_real_escape_string($_GET['id']);

Y ese $id es el que se lo pasas a la consulta

Después de ver la respuesta de @SkAr88 el código quedaría mas o menos así:

Código PHP:

Ver original$id = ! empty($_GET['id']) ? mysql_real_escape_string($_GET['id']) : NULL;

Saludos

PHPeros · #25 (**permalink**) 06/09/2013, 08:04

Cita:

Iniciado por jonni09lo

No, deberias guardar el escape en una variable

Código PHP:

Ver original$id = mysql_real_escape_string($_GET['id']);

Y ese $id es el que se lo pasas a la consulta

Después de ver la respuesta de @SkAr88 el código quedaría mas o menos así:

Código PHP:

Ver original$id = ! empty($_GET['id']) ? mysql_real_escape_string($_GET['id']) : NULL;

Saludos

No tiene mucho sentido devolver NULL, en tal caso FALSE

loncho_rojas · #26 (**permalink**) 06/09/2013, 08:06

Pero que estoy leyendo... gente discutiendo quien sabe más de PHP, SERVERS y esas cosas.. creense un post para debatir sus niveles intelectuales...

Primero:
No se si el problema del amigo tenga que ver con PHP OO

Segundo:
Si no sabe de PHP (supuestamente) cómo comprende los conceptos de pasar variables y demás?

Tercero:
La función para escapar variables no sabemos si es la solución a su problema, y se basan en eso en la mitad del post... al final va a volver a escribir "AUN NO HE PODIDO SOLUCIONARLO, AYUDA"

Cuarto:
Te sale algún error? Algo que de un indicio para saber por donde va la mano?

danibabasalom · #27 (**permalink**) 06/09/2013, 08:07

Cita:

Iniciado por jonni09lo

No, deberias guardar el escape en una variable

Código PHP:

Ver original$id = mysql_real_escape_string($_GET['id']);

Y ese $id es el que se lo pasas a la consulta

Después de ver la respuesta de @SkAr88 el código quedaría mas o menos así:

Código PHP:

Ver original$id = ! empty($_GET['id']) ? mysql_real_escape_string($_GET['id']) : NULL;

Saludos

Entonces seria

Código PHP:

  $Not_GET_id = ! empty($_GET['id']) ? mysql_real_escape_string($_GET['id']) : NULL;

$SQL_pregunta_not = mysql_query("SELECT * FROM noticias WHERE Not_ID ='$Not_GET_id'", $db_link) or die(mysql_error());

$Not_celda = mysql_fetch_row($SQL_pregunta_not);

y aqui me he quedado observando el codigo

PHPeros · #28 (**permalink**) 06/09/2013, 08:07

Cita:

Iniciado por loncho_rojas

pero que estoy leyendo... Gente discutiendo quien sabe más de php, servers y esas cosas.. Creense un post para debatir sus niveles intelectuales...

Primero:
No se si el problema del amigo tenga que ver con php oo

segundo:
Si no sabe de php (supuestamente) cómo comprende los conceptos de pasar variables y demás?

Tercero:
La función para escapar variables no sabemos si es la solución a su problema, y se basan en eso en la mitad del post... Al final va a volver a escribir "aun no he podido solucionarlo, ayuda"

cuarto:
Te sale algún error? Algo que de un indicio para saber por donde va la mano?

ole tu ole tu!!!

xSkArx · #29 (**permalink**) 06/09/2013, 08:08

Cita:

Iniciado por jonni09lo

No, deberias guardar el escape en una variable

Código PHP:

Ver original$id = mysql_real_escape_string($_GET['id']);

Y ese $id es el que se lo pasas a la consulta

Después de ver la respuesta de @SkAr88 el código quedaría mas o menos así:

Código PHP:

Ver original$id = ! empty($_GET['id']) ? mysql_real_escape_string($_GET['id']) : NULL;

Saludos

Asi es, despues de realizar la conaulta hay que verificar si devuelve algun resultado con mysql_num_rows()

loncho_rojas · #30 (**permalink**) 06/09/2013, 08:09

Pido a algún moderador que cierre el tema.