Menú dinámico con JavaScript y PHP

[dec]

Hola,

A ver si podemos ayudar en algo. Digo yo que, ¿el error que te aparece lo imprime PHP, o, según entiendo, es el navegador (acaso la extensión FireBug) la que te muestra el mensaje de error? Porque la variable "TREE_NODES" es una variable de JavaScript, ¿no?

Por otro lado, en el código no veo que hagas uso de ninguna expresión regular... y, si seguimos los mensajes de error y miramos en la línea 22 y 39 del código que muestras, pareciera que ahí no hay ningún error, o que las líneas no coinciden, vaya...

La cosa es que te funciona en un sitio y en otro no... ¿se trata de la misma versión de PHP? ¿Qué extensión tiene el Script problemático? A ver si va a ser un archivo ".js" y, en el sistema en que obtienes el error, este tipo de archivos no es procesado como PHP, como por otro lado es lo normal...

No sé... a ver si damos con la tecla entre todos.

[lucasarts_18]

Primero que nada gracias por responder compañero Dec.

Cita:

Empezado por dec

es el navegador (acaso la extensión FireBug) la que te muestra el mensaje de error? Porque la variable "TREE_NODES" es una variable de JavaScript, ¿no?

Así es, el error lo notifica Javascript mediante la consola de error del FireFox (no Firebug), y "TREE_NODES" es una variable JS.

Cita:

Empezado por dec

La cosa es que te funciona en un sitio y en otro no... ¿se trata de la misma versión de PHP?

No se trata de la misma versión de PHP, en mi PC yo hice la instalación de PHP 5.2.0, Apache 2.0.52 por separado, y en mi notebook instale el AppServ con Php 5.2.3 y Apache 2.2.4

Cita:

Empezado por dec

¿Qué extensión tiene el Script problemático?

Extensión PHP, ahí coloco texto que en el PC lo interpreta correctamente como javascript y también texto de PHP como se ve en el primer mensaje de este hilo, pero que con AppServ y en la otra máquina no funka...

ese archivo php lo gatillo de la siguiente forma.

Código PHP:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<link rel="stylesheet" href="../../css/conf_tree.css" type="text/css">
<link rel="stylesheet" href="../../css/conf_principal.css" type="text/css">
<script language="JavaScript" src="../../jscripts/sdtree.js" type="text/javascript"></script>
<script language="JavaScript" src="../../jscripts/structure_tree.php" type="text/javascript"></script>
<script language="JavaScript" src="../../jscripts/conf_tree.js" type="text/javascript"></script>
</head>
<body style="margin: 0px"> 
<table border="0" width="99%" cellpadding="0" cellspacing="0" class="headerBackground">
<tr><!-- width="1017" -->
<td height="60" valign="bottom" align="center" class="letraHeader">Sistema de Embalaje Cabo</td>
</tr>
<tr>
<td height="23" align="right" valign="top" class="headerLogin">&nbsp;
Usuario conectado: {$nomUsuario} | Perfil: {$nomPerfil} </td>
</tr>
</table>
</body>
</html> 


allí se puede ver como la página carga el archivo
../../jscripts/structure_tree.php y que es el archivo encargado de generar el arbolito dinámico mediante Javascript y PHP en un archivo con extensión PHP.

Dec, espero haber aclarado tus dudas y que tengas mas información para ver el problema que tengo, gracias nuevamente.

Hasta Luego .-

[dec]

Hola,

Bueno. La expresión regular debe ponerla por su parte el Script que usas para crear el "treeview". Se me ocurren varias cosas, pero, te preguntaría si las pruebas las haces con la misma base de datos, con los mismos datos.

Haces una cosa que acaso sea problemática y que tiene que ver con esto último. "Imprimes" los datos que traes de la base de datos "tal cual", cuando, a lo mejor es preciso "escaparlos", para evitar problemas. Más aún si estos datos van a ir dentro de "comillas", por ejemplo.

Personalmente uso esta función cuando tengo que imprimir un dato procedente de la base de datos en HTML, para evitar problemas:

Código PHP:

  static public function Str2Htm($input,$charset='utf-8'){
    return htmlentities(strip_tags(
     stripslashes($input)),ENT_QUOTES,$charset);
  } 


Esto viene a cuento de que, por ejemplo, si recibes de la base de datos algo como "O'connor", es posible que la "comilla simple" rompa el Script en que estás insertando el dato en cuestión. O si recibes otros símbolos como "\", es posible que esto rompa el Script, expresiones regulares, etc. Es posible que me equivoque, pero, yo miraría por ahí... para empezar, por lo menos.

[lucasarts_18]

Cita:

Empezado por dec

Código PHP:

  static public function Str2Htm($input,$charset='utf-8'){
    return htmlentities(strip_tags(
     stripslashes($input)),ENT_QUOTES,$charset);
  } 


Esto viene a cuento de que, por ejemplo, si recibes de la base de datos algo como "O'connor", es posible que la "comilla simple" rompa el Script en que estás insertando el dato en cuestión. O si recibes otros símbolos como "\", es posible que esto rompa el Script, expresiones regulares, etc. Es posible que me equivoque, pero, yo miraría por ahí... para empezar, por lo menos.

Entonces a cada Echo que haga en mi script debo mandarle esta función, esa función recibe dos parametros, que se supone que le mando al segundo parámetro ?

¿Podrías darme un ejemplo?

Gracias.

Hasta Luego .-

[dec]

Hola,

Hombre, a cada "echo"... pero sí tienes que hacerlo "a discrección". El segundo parámetro es para indicárselo a la función en que es preciso y tiene que ver con el "charset" que estés utilizando, tanto en la página Web como en la base de datos. Yo tengo por defecto "utf-8", puesto que el "charset" que procuro usar.

Respecto del ejemplo. Ahí va uno más bien sencillo, porque, te advierto que yo en esto tampoco me llego a aclarar del todo, si bien es cierto que, efectivamente, intuyo que por ahí pueden ir los tiros en este caso... lo mismo hasta en esto estoy equivocado.

Código PHP:

<?php

$value = "Pedrolopez\\";

//$value = Str2Htm($value);

?>

<p onclick="alert('<?php echo $value ?>')">
Un párrafo sobre el que se puede hacer clic
</p>

Si ejecutas el código anterior verás que el "alert" no funciona. Sé que es algo forzado, que acaso no encuentres nunca un registro en la base de datos que contenga esa "barra invertida", pero, piensa que esto se hace también para evitar el que pueda insertarse un registro así... adrede.

Ahora, si "descomentas" la instrucción en que se hace pasar el "valor" por la función "Str2Htm()" verás que el "alert" de JavaScript funciona como se espera, porque, no se corta la cadena que se supone ha de mostrar.

Sin embargo, no nos vamos a engañar, yo esperaba que algo así también funcionase:

Código PHP:

$value = "Jhon O'Connor";

$value = GbValidate::Str2Htm($value);

?>

<p onclick="alert('<?php echo $value ?>')">
Un párrafo sobre el que se puede hacer clic
</p>

Pero, no lo hace. Porque, aunque la comilla "simple" del valor se convierte a su correspondiente "entidad", lo cierto es que JavaScript "reconoce" dicha entidad, la toma como la comilla simple que es y, ¡zas!, el "alert" no funciona como se espera...

No sé. Prueba por ese camino. Sobre esto del escapar cadenas hay que llevar cierto cuidado. Por ejemplo, si la cadena va a mostrarse dentro de un "input" o "textarea" yo, por lo pronto, no las escapo. Si ha de mostrarse en otro lugar sí que lo hago.

Y, a la contra pasa lo mismo, me refiero a que cuando guardas valores en la base de datos estos han de ser previamente escapados, pero, no con la función que antes copié aquí. Yo, para estos menesteres, uso esta otra función, que me recomendó un conocido hace bastante tiempo:

Código PHP:

  public function Escape($input){
    if(get_magic_quotes_gpc()){
      $input = stripslashes($input);
    }
    return @mysql_real_escape_string(
     $input, $this->dbConnection);
  } 


Se trata de escapar con esa función cualquier cadena que vaya a formar parte de una consulta SQL. Y sirve, entre otras cosas, para evitar el "SQL injection" ese de que tanto se habla, o de que tan poco se habla...

Puede parecer "pesado" tener que hacer algo así cuando insertas registros, por un lado, y cuando los muestras, por otro, pero, no queda otra. A no ser que controles absolutamente a los usuarios de la aplicación y estos no vayan a pretender nunca "meter la pata", pero, aún así...

Por ejemplo, si vas a imprimir un determinado valor dentro de HTML, como poco, es menester escapar las posibles etiquetas HTML que dicho valor contenga, como, por ejemplo, < script >... que puede estar ahí con mala idea...

No sé si te estoy ayudando en algo o no Lúcas, pero, en fin, como he dicho más arriba, a ver si entre todos sacamos algo en claro.

[lucasarts_18]

Hola Dec,

Pues mi desconcierto es aún mayor cuando empecé hacer pruebas a "locas", pues me encuentro que al sacar el session_start() y reemplazar la variable de session por un valor fijo funciona de maravilla el script, y ojo !!!! que no estoy soñando, vuelvo agregar el session start y deja de funcionar........

Creo que las cosas de ahora en adelante cambian o no dec ?, pero eso de escapear las variables es una muy buena práctica de programación, pero los tiros no van por ahí por lo mencionado mas arriba.

Hasta Luego .-

[lucasarts_18]

Hola Dec

Asunto arreglado el session_start debe estar antes de una salida al navegador, lo puse al comienzo y asunto arreglado, ahora mi pregunta es ¿por qué diablos funciona en la otra máquina.?

Hasta Luego .-

[dec]

Hola,

Bueno. Pues las cosas cambian, pero, permíteme insistir en lo dicho de escapar cadenas (de entrada en la base de datos y de salida para imprimir), puesto que, como ves, usas el valor de la variable de la sesión dentro de la consulta SQL sin escaparlo antes: y eso puede traer problemas de seguridad... alguien podría "inyectar" SQL ahí.

Pero, dejando este tema aparte y volviendo al asunto primero de este hilo... pues... ¿qué hay exactamente en la variable de la sesión? Yo probaría a dejar el "session_start()", pero, a poner un valor fijo en la variable de marras. No creo que "session_start()" de problemas (vamos, no veo porqué), pero, el valor... quién sabe qué valor es...

Yo echaría un vistazo al valor de esa variable, por un lado, y luego a lo que me retorna la consulta SQL, imprimiría lo que me retorna y vería qué puede haber raro ahí. Por otro lado, no has comentado al respecto, pero, ¿se supone que "juegas" con los mismos datos? En donde funciona y en donde no, me refiero, porque el problema podría estar en los datos... unos son problemáticos y los otros no.

Y más aún... creo que los tiros siguen siendo por donde he mencionado, porque me ciño al mensaje de error: se encuentra algún carácter no esperado en la expresión regular que usa el Script que utilizas para componer el menú. Ahora bien, ¿de dónde sale ese carácter problemático? No puede ser de otro modo: vienen de la base de datos...

Así que, resumiendo, vería qué contiene la variable de sesión. Y luego probaría, como has hecho, los resultados que obtengo con un valor fijo, pero, dicho valor ha de ser el que se supone que debería tener la variable de sesión, con el fin de que los datos que vienen de la base de datos sean los mismos: porque de no ser así, unos pueden contener caracteres "problemáticos", pero, otros no.

Vamos... digo yo.