DUDA!! Cuando se deben usar las funciones de php??
hola gente espero que esten muy bien, en este caso quisiera que entre todos pudieramos responder como y cuando debemos usar una funcion de php, en este caso empecemos, si no tienes la funcion GetSQLValueString que dream weaver crea, se puede usar la funcion siguien:
Mysqli_real_scape_string.
esta funcion se debe utilizar cuando vas introducir un dato en la base de datos o mejor dicho en un INSERT, pero mi duda seria, esta misma funcion se debe utilizar para en un SELECT cuando anteriormente ya se utilizo en el insert? que consecuencias traeria en caso de que ya no debe volver a usarse? o por el contrario se recomienda utilizar tambien en un select?
de ante mano gracias...
Mysqli_real_scape_string.
esta funcion se debe utilizar cuando vas introducir un dato en la base de datos o mejor dicho en un INSERT, pero mi duda seria, esta misma funcion se debe utilizar para en un SELECT cuando anteriormente ya se utilizo en el insert? que consecuencias traeria en caso de que ya no debe volver a usarse? o por el contrario se recomienda utilizar tambien en un select?
de ante mano gracias...
0
Puntos
Puntos
1732
Visitas
Visitas
6
Resp
Resp
Por Jesxs hace 100 meses
Desactivado
Respuesta #1
Usarlo tanto en INSERT como en SELECT sería lo correcto, un caso muy común es el clásico ejemplo que dan cuando se quiere explicar el SQL Injection (Inyección SQL) que es lo que se busca evitar con la función mysqli_real_scape_string.
En el caso del SELECT, toma como ejemplo un inicio de sesión. Donde validas tanto usuario como contraseña. Pero si en los input del login yo coloco ' OR '1'='1 ¿Que estaría pasando? Primero, estoy haciendo una Inyección SQL, o sea colocando condiciones SQL en la consulta. Segundo, podría entrar al Control Panel.. Y sería algo como
"SELECCIONA * en la tabla usuarios DONDE ususario enviado = usuario en la base de datos O 1=1 y si contraseña enviada = contraseña en la base de datos O 1=1".
Y como 1=1, entonces cumpliría la condición sin problemas y habré violado la seguridad.. Por eso también se debe usar mysqli_real_scape_string en una consulta SELECT.
Para algo más didáctico has el intento en éste login colocando como te dije ' OR '1'='1 pero sin modificar nada. Solo con el fin de entender la teoría, con algo de práctica. La idea siempre es saber como funcionan las cosas sin perjudicar a los demás. No estamos hablando del lado oscuro de la fuerza.
¡Feliz Navidad!
En el caso del SELECT, toma como ejemplo un inicio de sesión. Donde validas tanto usuario como contraseña. Pero si en los input del login yo coloco ' OR '1'='1 ¿Que estaría pasando? Primero, estoy haciendo una Inyección SQL, o sea colocando condiciones SQL en la consulta. Segundo, podría entrar al Control Panel.. Y sería algo como
"SELECCIONA * en la tabla usuarios DONDE ususario enviado = usuario en la base de datos O 1=1 y si contraseña enviada = contraseña en la base de datos O 1=1".
Y como 1=1, entonces cumpliría la condición sin problemas y habré violado la seguridad.. Por eso también se debe usar mysqli_real_scape_string en una consulta SELECT.
Para algo más didáctico has el intento en éste login colocando como te dije ' OR '1'='1 pero sin modificar nada. Solo con el fin de entender la teoría, con algo de práctica. La idea siempre es saber como funcionan las cosas sin perjudicar a los demás. No estamos hablando del lado oscuro de la fuerza.
¡Feliz Navidad!
Respuesta #2
Gracias jose, ya esta mas entendido, mira en estos momentos, estoy utilizando ambas funciones tanto GetSQLValueString como mysqli_real_scape_string, ambas funciones en un en consultas, entonces bueno he revizado un poco y parece ser que la funcion GetSQL no funciona, te dejo mi codigo:
bien la duda seria es correcto tener tanto GetSQL como mysqli_real? si no es asi que errores o consecuencias podria traer esto?
bueno biendo un poco si revizo la funcion GetSQL y corrijo el error en dado caso de que este mal algo, entonces tendria que borrar la funcion mysqli_real_scape_string de todas las consultas e inserts de mis archivos, creo yo que ya dado que tengo GetSQL no tendria caso volver a poner la funcion mysqli_real_scape_string, o dejo ambas funciones?
y la ultima duda que he tenido, es con respecto a si htmlentities, vas dentro de GetSQLValueString o bien fuera, por ejemplo:
perdonen si abeces hago preguntas que quizas son ovias, o hago preguntas tontas jaja, espero me comprendan, estoy un poco enredado con este problemita, que me recomeindan o que esta mal o bien en lo que estoy haciendo, o mas bien en el modo en como lo estoy haciendo?
de antemano, gracias.
if (!function_exists("GetSQLValueString")) {
function GetSQLValueString($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = ""){
if (PHP_VERSION < 6) {
$theValue = get_magic_quotes_gpc() ? stripslashes($theValue) : $theValue;
}
global $conexion;
$theValue = function_exists("mysqli_real_escape_string") ? mysqli_real_escape_string($conexion, $theValue) : mysqli_escape_string($conexion, $theValue);
switch ($theType) {
case "text":
$theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";
break;
case "long":
case "int":
$theValue = ($theValue != "") ? intval($theValue) : "NULL";
break;
case "double":
$theValue = ($theValue != "") ? doubleval($theValue) : "NULL";
break;
case "date":
$theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";
break;
case "defined":
$theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue;
break;
}
return $theValue;
}
} sinceramente no se que ocurre, pero paraciera como si esta funcion no funcionara, por eso mi duda, otra seria que quizas estoy colocando mal el codigo de las demas funciones, como htmlentities, por ejemplo, en la todas las lineas tengo del codigo, tengo asi las funciones:$query_example = sprintf("SELECT example FROM example2 WHERE id=%s",
GetSQLValueString(htmlentities(mysqli_real_escape_string($conexion, $_POST['examplename'])), "int"));
$example = mysqli_query($conexion, $query_example) or die(mysqli_error($conexion));
$row_example = mysqli_fetch_assoc($example);
$totalRows_example = mysqli_num_rows($example);
teniendo asi las dos funciones antes mencionada, y ademas htmlentities, estoy un poco trabado con este tema, probablemente tengo algo mal en el codigo de la funcion GetSQLValueString, o algo estoy asiendo mal.bien la duda seria es correcto tener tanto GetSQL como mysqli_real? si no es asi que errores o consecuencias podria traer esto?
bueno biendo un poco si revizo la funcion GetSQL y corrijo el error en dado caso de que este mal algo, entonces tendria que borrar la funcion mysqli_real_scape_string de todas las consultas e inserts de mis archivos, creo yo que ya dado que tengo GetSQL no tendria caso volver a poner la funcion mysqli_real_scape_string, o dejo ambas funciones?
y la ultima duda que he tenido, es con respecto a si htmlentities, vas dentro de GetSQLValueString o bien fuera, por ejemplo:
$query_example = sprintf("SELECT example FROM example2 WHERE id=%s", htmlentities(GetSQLValueString(mysqli_real_escape_string($conexion, $_POST['examplename'])), "int")); $example = mysqli_query($conexion, $query_example) or die(mysqli_error($conexion)); $row_example = mysqli_fetch_assoc($example); $totalRows_example = mysqli_num_rows($example);o de la forma en como la tengo, cual seria la forma correcta?perdonen si abeces hago preguntas que quizas son ovias, o hago preguntas tontas jaja, espero me comprendan, estoy un poco enredado con este problemita, que me recomeindan o que esta mal o bien en lo que estoy haciendo, o mas bien en el modo en como lo estoy haciendo?
de antemano, gracias.
0
Puntos
Puntos
Por Jesxs hace 100 meses
Desactivado
Respuesta #3
mira he checado ambas funciones y este fue el resultado, quizas aqui esta la confucion del problema que presentaba:
les dejo la prueba que hice, me di cuenta que la funcion GetSQLValueString deja las simples comillas inicial y terminal intacta, mientras la funcion mysqli_real_escape_string si las elimina, quizs me estoy enredando mas jaja pero creo que es mejor utilizar solo la funcion mysqli_real_escape_string.
que opinan?
les dejo la prueba que hice, me di cuenta que la funcion GetSQLValueString deja las simples comillas inicial y terminal intacta, mientras la funcion mysqli_real_escape_string si las elimina, quizs me estoy enredando mas jaja pero creo que es mejor utilizar solo la funcion mysqli_real_escape_string.
<?php
$sss1 = "('hola hola'), - _ \ + /hola % * ? \/ ".'%s & "" !?\/¿?';
$sql = mysqli_real_escape_string($conexion, $sss1);
echo $sql.'<br/><br/><br/>';
$sss2 = "('hola hola'), - _ \ + /hola % * ? \/ ".'%s & "" !?\/¿?';
$sql2 = GetSQLValueString($sss2, "text");
echo $sql2.'<br/><br/><br/>';
$sss3 = "('hola hola'), - _ \ + /hola % * ? \/ ".'%s & "" !?\/¿?';
$sql3 = GetSQLValueString(mysqli_real_escape_string($conexion, $sss3), "text");
echo $sql3.'<br/><br/><br/>';
?>y da como resultado(\'hola hola\'), - _ \\ + /hola % * ? \\/ %s & \"\" !?\\/¿? '(\'hola hola\'), - _ \\ + /hola % * ? \\/ %s & \"\" !?\\/¿?' '(\\\'hola hola\\\'), - _ \\\\ + /hola % * ? \\\\/ %s & \\\"\\\" !?\\\\/¿?'entonces creo yo, es mejor utilizar mysqli, pero que opnan ustedes, deberia eliminar GetSQLValueString y dejar solo mysqli, o por el contrario para ustedes por su uso y experiencia en mejor GetSQLValueString??
que opinan?
0
Puntos
Puntos
Por Jesxs hace 100 meses
Desactivado
Respuesta #4
Hola, la función mysql_real_scape_string ya esta incluida en la función GetSQLValueString por eso no puedes usarlas juntas, por lo que comentas de mysqli tienes una guía de como pasar de mysql a mysqli de manera muy fácil en este enlace https://datoweb.com/post/2486/ejemplos-de-como-usar-mysqli-de-manera-facil
salu2
salu2
0
Puntos
Puntos
Por alber hace 100 meses
Administrador
Respuesta #5
Jesx, como dice alber, no es necesario usar mysqli_real_scape_string si ya usas GetSQLValueString, o viceversa ¿Cuál usar? La que quieras.
Ahora, no es que GetSQLValueString le deje las comillas inicial y final a la cadena de texto, sino que si leemos detenidamente el código por aquí
Tú mismo puedes crear tu propia función para escapar caracteres, puedes llamarla EscapeDeCaracteres($parametro) y usando mysqli_real_escape_string limpiar la cadena y luego retornarla con un return.
Ahora, no es que GetSQLValueString le deje las comillas inicial y final a la cadena de texto, sino que si leemos detenidamente el código por aquí
case "text":
$theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";
break;Vemos, específicamente aquí:"'" . $theValue . "'"Que se le está agregando comillas simples tanto al inicio como al final, porque para eso tú indicaste que el valor es de tipo "text": GetSQLValueString($parametro, "text") ahora en cambio, si el parámetro fuese un número, aparecerá sin comillas.
Tú mismo puedes crear tu propia función para escapar caracteres, puedes llamarla EscapeDeCaracteres($parametro) y usando mysqli_real_escape_string limpiar la cadena y luego retornarla con un return.
Respuesta #6
Hola, revisa como puedes usar la función GetSQLValueString en mysqli en este tema https://datoweb.com/post/2608/formatear-cadena-con-funcion-getsqlvaluestring-en-mysqli
salu2
salu2
0
Puntos
Puntos
Por alber hace 99 meses
Administrador
