como es la consulta parametrizada php?

[Arturo]

hola a todos
he realizado una consulta en php pero solo me devuelve los titulos que corresponde a los campos, y no me valida la entrada; este es el codigo que use:

Código PHP:

  formulario.htm
<html> 
<body>
<br> 
<form method="POST" action="buscador.php">
<strong>Palabra clave :</strong> <input type="text" name="buscar" size="20"><br><br> 
<input type="submit" value="Buscar" name="buscar"> 
</form> 
</body> 
</html>

luego en php:
 <html> 
<body> 
  
<?php 
if (empty($buscar))
 {
 echo 'Falta el dato a evaluar....';
 exit;
 }
else 
{ 
    
$link = mysql_connect("localhost", "root", "admin21k");

mysql_select_db("equipos", $link);

$sql = "SELECT * FROM eq_proveedores WHERE PROVEEDOR LIKE '%$buscar%' ORDER BY PROV_ID";

$result = mysql_query($sql, $link);
 if (!$result)
 { 
   echo 'No hay datos...'; 
   exit;
 }
else {
 echo "<table border = '1'> \n"; 
 echo "<tr><td>Codigo</td><td>Proveedor</td><td>RFC</td><td>Direccion</td></tr>"; 
  while($row = mysql_fetch_array($result)) { 
           echo "<tr>";
        echo "<td>".$row[0]."</td>";
        echo "<td>".$row[1]."</td>";
        echo "<td>".$row[2]."</td>";
        echo "<td>".$row[3]."</td>";
        echo "</tr>";
 }
  echo "</table>";

   mysql_free_result($result);
   mysql_close($link);
 }
}
?>

gracias

[[kayetano]]

Hola

No termino de entender lo de "validar la entrada", pero yo cambiaría lo siguiente de tu código:

Código PHP:

$sql = "SELECT * FROM eq_proveedores WHERE PROVEEDOR LIKE '%".$_POST['buscar']."%' ORDER BY PROV_ID"; 


Debes utilizar el array $_POST.

Código PHP:

echo "<td>".$row['codigo']."</td>";
echo "<td>".$row['proveedor']."</td>";
echo "<td>".$row['rfc']."</td>";
echo "<td>".$row['direccion']."</td>"; 


me he invetado los nombre de los campos, tu debes poner los reales.

Por último, tienes que tener en cuenta que MYSQL diferencia entre mayusculas y minúsculas, lo digo por el nombre de los campos y las tablas.

[Arturo]

validar me refiero a que si esta en blanco el text del form que viene del html me de un mensaje diciendo algo que no se puede hacer la busqueda o algo por el estilo, este es el codigo que habia usado pero lo cambio suponiendo que no me dejara pasar comprobando que el cuadro de text estuviera en blanco:

Código PHP:

include "conexion.php";
if (!isset($buscar)){
        echo"
        <html>
        <head><title>Guardar datos en la base</title></head>
        <body> 


sin embargo me salta esta validacion, o cual es la forma de validar usando form en html. por tanto voy a cambiar mi codigo.

gracias

[*Emilio*]

Prueba con esto...

Código PHP:

include( "conexion.php" );
if ( trim( $_POST["buscar"] ) =="" ) {
   echo "Debes indicar alguna palabra de búsqueda";
   // Aquí le redireccionas de nuevo al formulario.
}
else {
   // Procedimiento de búsqueda.
} 


[dec]

Hola,

Código PHP:

include( "conexion.php" );
if ( isset($_POST["buscar"]) AND trim( $_POST["buscar"] ) =="" ) {
   echo "Debes indicar alguna palabra de búsqueda";
   // Aquí le redireccionas de nuevo al formulario.
}
else {
   // Procedimiento de búsqueda.
} 


El "isset" puede evitar el "No se encontró el índice 'buscar'. ¿Que no?

[[kayetano]]

Hola

Esa comprobación también la puedes hacer en javascript:

Código PHP:

<SCRIPT>
   function validar( form ){
      if( !form.texto.value.lenght ) {
         alert("Debe indicar un texto de búsqueda");
         return false;
      }
      return true;
   }
</SCRIPT>
...
<BODY>
   <FORM>
      <INPUT TYPE="TEXT" NAME="texto">
      <INPUT TYPE="SUBMIT" VALUE="BUSCAR" NAME="SUBMIT" ONCLICK="return validar(this.form);">
   </FORM>
...
</BODY> 


Lo pongo de memoria es muy posible que no funcione a la primera pero te haces una idea.

[[kayetano]]

Hola de nuevo

Cita:

Empezado por dec

El "isset" puede evitar el "No se encontró el índice 'buscar'. ¿Que no?

Yo por lo general solo pongo ISSET() y si el usuario busca un espacio en blanco ... pues que lo busque.
De todas formas, y por rizar el rizo, a mi no me gustan las comparaciones con comillas vacias, yo suelo usar:

Código PHP:

include( "conexion.php" );
if ( !isset($_POST["buscar"]) || !strlen( trim( $_POST["buscar"] ) ) ) {
   echo "Debes indicar alguna palabra de búsqueda";
   // Aquí le redireccionas de nuevo al formulario.
}
else {
   // Procedimiento de búsqueda.
} 


La verdad es que no tengo muy clara la condición que hay que poner, si un AND, si un OR, si NEGADO, esta es la que yo veo más lógica.

[*Emilio*]

Todas las comentadas me parecen válidas, eso demuestra que hay mil formas de hacer una misma cosa. ¿diversidad?

De todas formas me llama la atención lo que comenta Kayetano

Cita:

Empezado por kayetano

a mi no me gustan las comparaciones con comillas vacias

¿Qué tiene de malo?

[[kayetano]]

Hola

Cita:

Empezado por emilio

¿Qué tiene de malo?

Nada de nada, simplemente que yo lo veo más claro y lo pongo como alternativa.

[Mick]

Solo comentar que se deberia procesar la variable $buscar con alguna
funcion como mysql_real_escape_string antes de pasarsela al query.

El codigo que muestras permite ataques por injeccion de sql, simplemente poniendo el comando adecuado en el campo de busqueda de esa pagina web cualquiera te podria borrar la base de datos entera.

Saludos

[roman]

Pero si la consulta es un SELECT, ¿cómo podría inyectarle algo que borre?

// Saludos

[*Emilio*]

Cita:

Empezado por roman

Pero si la consulta es un SELECT, ¿cómo podría inyectarle algo que borre?

Entiendo que Mick se refiere a poder alcanzar privilegios y a continuación hacer el delete, lo cual no es fácil pero no imposible.

[[kayetano]]

Hola

Como poderse se pueden hacer muchas cosas, por ejemplo:
Tenemos el siguiente select:

Código PHP:

$sql = "SELECT * FROM eq_proveedores WHERE PROVEEDOR LIKE '%".$_POST['buscar']."%' ORDER BY PROV_ID"; 


Supongamos que me monto un form que llama a nuestro script y meto como valor de "buscar" el siguient texto

Código PHP:

$_POS['buscar'] = "' OR 1 OR like '"; 


Con esto podríamos obtener todos los proveedores, pero hay un gran problema se debe conocer la consulta y por lo general esto no sucede.
De esta misma forma se podría obtener información de las bases de datos y tablas con SHOW DATABASES, pero igualmente debemos conocer la estructura de la consulta y que el código permita desarrollar la consulta modificada..
El mayor problema que podemos tener es que se incluya una comilla simple en nuestra búsqueda con lo que probocaremos un error en la consulta.

Existen muchas funciones para filtrar los parametros mandados por formularios como pueden ser "AddSlashes" y "strip_tags" para evitar algún tipo de código HTML o PHP.

[dec]

Hola,

Cita:

Empezado por Kayetano

Yo por lo general solo pongo ISSET() y si el usuario busca un espacio en blanco ... pues que lo busque.

No; no me refería yo a eso Kayetano. Cuando se trataba de comprobar el "$_POST['buscar']" con la función "isset" no sera tanto para evitar buscar "nada", sino porque de no existir el índice 'buscar' en la variable (Array) "$_POST", PHP retornaría un mensaje error, aunque creo que se trata sólo de una advertencia o una "noticia".

[roman]

¿Que no es lo mismo que dice kayetano? Él usa isset() igual que tú para asegurarse que exista la entrada 'buscar' en el arreglo asociativo $_POST. La otra parte de tu condición es la que él omite pues <<si el usuario busca un espacio en blanco ... pues que lo busque>>.

// Saludos

[dec]

Hola,

Pues así debe ser Román. No debí leer bien. De hecho así fue, y, bueno, me confundí a lo que se ve.

[Mick]

Con respeto a lo de borrar datos, segun la version de mysql, segun como este configurada, y segun el usuario de conexion tenga mas o menos privilegios, se podria injectar junto con el sql normal un segundo sql que haga un:

delete from la_Tabla_que_sea
o peor todavia un:
drop database nombre_de_la_Base_de_datos

Efectivamente hay que saber el nombre de una tabla o el nombre de la base de datos, pero si el php muestra los errores, podemos averiguar el nombre de la base de datos o de distintas tablas, simplemente injectando previamente cualquier texto que fuerce un error de sintaxis en la sentencia sql para que la pagina web muestre los errores en pantalla que suelen dar pistas o incluso mostrar los selects.

Es comun en la configuracion de muchos servidores que no esten anulados los mensajes de error (cosa bastante mala para la seguridad), a todo el mundo le habra pasado de ir a alguna pagina web, estar el servidor de mysql caido o algun otro error y que nos salga un mensaje del tipo, "cannot connect to database la_que_Sea" o "Sintax error in Sql etc,etc".
Estos errores pueden dar demasiada informacion sobre nombre de la base de datos, nombres de tablas, etc, por eso deberian estar anulados en servidores publicos.

Saludos

[roman]

¡Ah! Ok, ya entiendo. Lo que pasa es que no sabía que podían mandarse múltiples sentencias en una sola llamada. Y tienes toda la razón, conviene siempre apagar el despliegue de errores en el servidor de producción.

// Saludos

[yusnerqui]

Hola, No me regañen, ya se que se debe abrir un hilo para cada pregunta, pero es que estoy comenzando en esto del php y he visto algo aquí que me ha llamado la atención.

Cita:

Empezado por Emilio

Código PHP:

include( "conexion.php" );

if ( !isset($_POST["buscar"]) || !strlen( trim( $_POST["buscar"] ) ) ) {
  echo "Debes indicar alguna palabra de búsqueda";
  // Aquí le redireccionas de nuevo al formulario.
}
else {
  // Procedimiento de búsqueda.
} 


Es en cuanto al redireccionamiento, no quedamos que la función header solo te redirecciona si No se ha enviado ningún texto a la página, como es que entonces Emilio Muestra un mensaje y despues propone un redireccionamiento.

Es esto posible??

De hecho este mismo foro lo hace cuanto te registras, pero, qué código se usa para este fín?

Pido disculpas si mi pregunta está fuera de lugar, y agradesco cualquier aclaración.

Saludos Yusnerqui.

[dec]

Hola,

Efectivamente, no puede enviarse nada al cliente/navegador, antes de haber enviado las correspondientes cabeceras HTTP en la respuesta. Dicho de otro modo, no pueden enviarse cabeceras HTTP una vez se enviara algo al cliente/navegador. Por nada y por algo entendamos texto o cualquier otra cosa que tenga su destino en la salida estándar en estos casos: el cliente o navegador Web.

Para redireccionar con PHP podemos valernos de cabeceras HTTP (como para no pocas cosas, en realidad el protocolo HTTP, las cabeceras disponibles, sobrepasa a PHP y convendría que le echáramos un vistazo porque nos servirá para no pocos asuntos más además) y podría hacerse más o menos así:

Código PHP:

<?php
header("HTTP/1.1 301 Moved Permanently"); 
header("Status 301 Moved Permanently");
header('Location: http://www.clubdelphi.com/');
die;
?>

Vamos ahora a provocar el conocido error mencionado anteriormente:

Código PHP:

 <?php
echo "Salida al cliente, o sea, se enviarán ciertas cabeceras HTTP y luego esta cadena";
 header("HTTP/1.1 301 Moved Permanently"); // Error, ya se enviaron las cabeceras HTTP y cierta salida
 header("Status 301 Moved Permanently");
 header('Location: http://www.clubdelphi.com/');
 die;
 ?>

Sin embargo, lo contrario sí es correcto:

Código PHP:

 <?php
 header("HTTP/1.1 301 Moved Permanently");
 header("Status 301 Moved Permanently");
 header('Location: http://www.clubdelphi.com/');
echo "Salida al cliente, o sea, se enviarán ciertas cabeceras HTTP y luego esta cadena";
die;
 ?>

Es correcto, pero, en este caso la salida del "echo" no se produciría, porque antes nos "vamos" a otra página, redireccionamos al cliente al ClubDelphi, como puede verse.

Pero, como hemos dicho, las cabeceras HTTP no sólo sirven para redireccionar, sino que, pueden servir y lo hacen para muchas otras cosas. En el siguiente ejemplo se envía una cabecera HTTP que indica que la salida ha de tratarse (por el cliente) como un archivo XML y además con cierta codificación de caracteres, lo que se diría indicar al cliente el "Content/Type" de la salida/respuesta que le pensamos hacer llegar, y a continuación de la correspondiente cabecera se imprimiría el contenido, la salida:

Código PHP:

  header('Content-type: text/xml; charset="utf-8"');
  echo "
   <loturak version=\"". APP_VERSION ."\">
    <enlace>
     <id>$enlace->id</id> 
     <titulo>$enlace->titulo</titulo>
     <url>$enlace->url</url>
     <fecha>$enlace->fecha</fecha>
     <descripcion>$enlace->descripcion</descripcion>     
     <etiquetas>$enlace->etiquetas</etiquetas>          
    </enlace>
   </loturak>
  ";
  die; 


Y, bueno... dicho esto... ¿dónde ves tú en el código de Emilio que has referido que haga uso de la función "header"? Yo no lo veo. No veo que añada ninguna cabecera HTTP a la salida , pero, a lo mejor es que no te entendí bien o se me escapa algo en todo caso.