Hola,
Hombre, a cada "echo"... pero sí tienes que hacerlo "a discrección". El segundo parámetro es para indicárselo a la función en que es preciso y tiene que ver con el "charset" que estés utilizando, tanto en la página Web como en la base de datos. Yo tengo por defecto "utf-8", puesto que el "charset" que procuro usar.
Respecto del ejemplo. Ahí va uno más bien sencillo, porque, te advierto que yo en esto tampoco me llego a aclarar del todo, si bien es cierto que, efectivamente, intuyo que por ahí pueden ir los tiros en este caso... lo mismo hasta en esto estoy equivocado.
Código PHP:
<?php
$value = "Pedrolopez\\";
//$value = Str2Htm($value);
?>
<p onclick="alert('<?php echo $value ?>')">
Un párrafo sobre el que se puede hacer clic
</p>
Si ejecutas el código anterior verás que el "alert" no funciona. Sé que es algo forzado, que acaso no encuentres nunca un registro en la base de datos que contenga esa "barra invertida", pero, piensa que esto se hace también para evitar el que pueda insertarse un registro así... adrede.
Ahora, si "descomentas" la instrucción en que se hace pasar el "valor" por la función "Str2Htm()" verás que el "alert" de JavaScript funciona como se espera, porque, no se corta la cadena que se supone ha de mostrar.
Sin embargo, no nos vamos a engañar, yo esperaba que algo así también funcionase:
Código PHP:
$value = "Jhon O'Connor";
$value = GbValidate::Str2Htm($value);
?>
<p onclick="alert('<?php echo $value ?>')">
Un párrafo sobre el que se puede hacer clic
</p>
Pero, no lo hace. Porque, aunque la comilla "simple" del valor se convierte a su correspondiente "entidad", lo cierto es que JavaScript "reconoce" dicha entidad, la toma como la comilla simple que es y, ¡zas!, el "alert" no funciona como se espera...
No sé. Prueba por ese camino. Sobre esto del escapar cadenas hay que llevar cierto cuidado. Por ejemplo, si la cadena va a mostrarse dentro de un "input" o "textarea" yo, por lo pronto, no las escapo. Si ha de mostrarse en otro lugar sí que lo hago.
Y, a la contra pasa lo mismo, me refiero a que cuando guardas valores en la base de datos estos han de ser previamente escapados, pero, no con la función que antes copié aquí. Yo, para estos menesteres, uso esta otra función, que me recomendó un conocido hace bastante tiempo:
Código PHP:
public function Escape($input){
if(get_magic_quotes_gpc()){
$input = stripslashes($input);
}
return @mysql_real_escape_string(
$input, $this->dbConnection);
}
Se trata de escapar con esa función cualquier cadena que vaya a formar parte de una consulta SQL. Y sirve, entre otras cosas, para evitar el "SQL injection" ese de que tanto se habla, o de que tan poco se habla...
Puede parecer "pesado" tener que hacer algo así cuando insertas registros, por un lado, y cuando los muestras, por otro, pero, no queda otra. A no ser que controles absolutamente a los usuarios de la aplicación y estos no vayan a pretender nunca "meter la pata", pero, aún así...
Por ejemplo, si vas a imprimir un determinado valor dentro de HTML, como poco, es menester escapar las posibles etiquetas HTML que dicho valor contenga, como, por ejemplo, < script >... que puede estar ahí con mala idea...
No sé si te estoy ayudando en algo o no Lúcas, pero, en fin, como he dicho más arriba, a ver si entre todos sacamos algo en claro.
