Select con $_GET ¿Es posible?

Briss · #1 (**permalink**) 17/12/2012, 19:30

hola estoy tratando de hacer un select comparado con el valor de un input algo asi

Código PHP:

  select * from tabla where campo='$_GET[id]'"

Pero no muestra nada mi consulta...

probe con algo asi

$id=$_GET[id];

Código PHP:

  select * from tabla where campo='$id'"

Pero nada

abimex · #2 (**permalink**) 17/12/2012, 19:41

NONONO, no hagas eso, te pueden hackear, primero sanitiza los datos, convierte a entidades html y usa limpia los quotes, poner el $_GET directamente en la consulta es un hackeo garantizado
Saludos

Briss · #3 (**permalink**) 17/12/2012, 19:43

Cita:

Iniciado por abimex

NONONO, no hagas eso, te pueden hackear, primero sanitiza los datos, convierte a entidades html y usa limpia los quotes, poner el $_GET directamente en la consulta es un hackeo garantizado
Saludos

a que te refieres con convertir a entidades html????

Briss · #4 (**permalink**) 17/12/2012, 20:03

haciendo un echo a mi variable $modalidad

me sale esto
Resource id #8

supongo q por eso mi select no arroja nada...

que tengo mal ????

cesar_viridi · #5 (**permalink**) 17/12/2012, 20:10

Puedes probar asi

Código PHP:

Ver original$id=$_GET['id'];
select * from tabla where campo = $id "

Pero como te dicen el hackear algo asi seria facil :P

Saludos

patofeo · #6 (**permalink**) 18/12/2012, 06:58

Si vos utilizas lo que se envia por GET en tus consultas SQL, está libre para que te puedan hacer una inyeccion en la base de datos, no te olvides que tanto el GET como el POST y es muy facil de manipular por el usuario de tu web, y si lo metés directamente en tu SQL, estarías permitiendo que el usuario maneje tus consultas SQL practicamente!

chuncho_villero · #7 (**permalink**) 18/12/2012, 07:43

si bien esta vulnerable a injection, la consulta esta bien, el error es el dato que trae o mas bien como lo envias, seria bueno que nos enviaras un poco de codigo del que envias y de la url que envias

saludos

Trublux · #8 (**permalink**) 18/12/2012, 10:35

Por partes:
1. Como dice abimex, antes de usar los datos que te llegan tienes que tratarlos para prevenirte de ataques.
2. Nunca usas "select *", ni siquiera cuando quieres todos los capos.
3. No sabemos qué contiene tu variable "$modalidad". Suponemos que es el resultado de la consulta que has puesto.
4. El índice de los array, cuando no es numérico, va entre comilla. Esto quiere decir que se escribe $_GET['id'] y no $_GET[id].

Briss · #9 (**permalink**) 18/12/2012, 11:06

Gracias por la información...
pretendo hacer lo siguiente
tengo un select asi:

Código PHP:

 
<select name="modalidad"  style="width:192px" onClick="document.getElementById('id').value=this.value;">

          <?php   

 
 do {    

  $id = $row_modalidad['modalidad']; 

  $fullName = $row_modalidad['modalidad']; 

  echo " <option value='$id'>$fullName</option>"; 

 } while ($row_modalidad = mysql_fetch_assoc($modalidad));  

?>         </select>

         <input type="text" name="id" id="id" value="" size="26" />

<input type="text" name="id" id="id" value="" size="26" /> */ Aquí capturo capturo la modalidad que se eligió en el select..... (esto funciona si la visualizo bien)

después en una variable modalidad capturo el valor del imput id
$modalidad=$_GET['id'];

Haciendo un echo $modalidad...
obtengo Resource id #8

supongo que por eso al tratar de hacer el select * from tabla where campo=$modalidad no muestra nada....

Algunos dirán que porque no uso selects dependientes ya que el valor inicial lo obtengo de un selec (modalidad)

pero intento resolverlo mediante una consulta

Briss · #10 (**permalink**) 18/12/2012, 12:15

Gracias a todos al final creo que usaré select dependientes