como es la consulta parametrizada php?

*Emilio* · #1 22-07-2006

Prueba con esto...

Código PHP:


			
include( "conexion.php" );
if ( trim( $_POST["buscar"] ) =="" ) {
   echo "Debes indicar alguna palabra de búsqueda";
   // Aquí le redireccionas de nuevo al formulario.
}
else {
   // Procedimiento de búsqueda.
}

dec · #2 24-07-2006

Hola,

Código PHP:


			
include( "conexion.php" );
if ( isset($_POST["buscar"]) AND trim( $_POST["buscar"] ) =="" ) {
   echo "Debes indicar alguna palabra de búsqueda";
   // Aquí le redireccionas de nuevo al formulario.
}
else {
   // Procedimiento de búsqueda.
}

El "isset" puede evitar el "No se encontró el índice 'buscar'. ¿Que no?

[kayetano] · #3 24-07-2006

Hola

Esa comprobación también la puedes hacer en javascript:

Código PHP:


			
<SCRIPT>

   function validar( form ){

      if( !form.texto.value.lenght ) {

         alert("Debe indicar un texto de búsqueda");

         return false;

      }

      return true;

   }

</SCRIPT>

...

<BODY>

   <FORM>

      <INPUT TYPE="TEXT" NAME="texto">

      <INPUT TYPE="SUBMIT" VALUE="BUSCAR" NAME="SUBMIT" ONCLICK="return validar(this.form);">

   </FORM>

...

</BODY>

Lo pongo de memoria es muy posible que no funcione a la primera

pero te haces una idea.

[kayetano] · #4 24-07-2006

Hola de nuevo

Cita:

Empezado por dec

El "isset" puede evitar el "No se encontró el índice 'buscar'. ¿Que no?

Yo por lo general solo pongo ISSET() y si el usuario busca un espacio en blanco ... pues que lo busque.
De todas formas, y por rizar el rizo, a mi no me gustan las comparaciones con comillas vacias, yo suelo usar:

Código PHP:


			
include( "conexion.php" );
if ( !isset($_POST["buscar"]) || !strlen( trim( $_POST["buscar"] ) ) ) {
   echo "Debes indicar alguna palabra de búsqueda";
   // Aquí le redireccionas de nuevo al formulario.
}
else {
   // Procedimiento de búsqueda.
}

La verdad es que no tengo muy clara la condición que hay que poner, si un AND, si un OR, si NEGADO, esta es la que yo veo más lógica.

*Emilio* · #5 24-07-2006

Todas las comentadas me parecen válidas, eso demuestra que hay mil formas de hacer una misma cosa. ¿diversidad?

De todas formas me llama la atención lo que comenta Kayetano

Cita:

Empezado por kayetano

a mi no me gustan las comparaciones con comillas vacias

¿Qué tiene de malo?

[kayetano] · #6 24-07-2006

Hola

Cita:

Empezado por emilio

¿Qué tiene de malo?

Nada de nada, simplemente que yo lo veo más claro y lo pongo como alternativa.

Mick · #7 28-07-2006

Solo comentar que se deberia procesar la variable $buscar con alguna
funcion como mysql_real_escape_string antes de pasarsela al query.

El codigo que muestras permite ataques por injeccion de sql, simplemente poniendo el comando adecuado en el campo de busqueda de esa pagina web cualquiera te podria borrar la base de datos entera.

Saludos

roman · #8 28-07-2006

Pero si la consulta es un SELECT, ¿cómo podría inyectarle algo que borre?

// Saludos

Herramientas	Buscar en Tema
Mostrar Versión Imprimible Enviar por Correo	Buscar en Tema: Búsqueda Avanzada
Desplegado
Cambiar a Modo Lineal Modo Híbrido Cambiar a Modo Hilado

Temas Similares
Tema	Autor	Foro	Respuestas	Último mensaje
Como Creo una Consulta SQL	esimon	SQL	4	08-02-2006 17:33:52
vista parametrizada	tgsistemas	SQL	4	30-11-2005 18:06:57
¿Como realizo una consulta?	majosf	Conexión con bases de datos	4	17-06-2005 20:55:41
como consulta a 3 tablas?	Ryu	SQL	4	26-04-2005 15:15:14
consulta parametrizada	rebollo75	SQL	2	18-11-2004 17:53:52