Apici e Virgolette - come eliminare le interruzioni di codice

**exlot** · 17-11-2017, 21.48.46

Ciao a tutti, so che sarà il solito problema trito e ritrito, ma non riesco a superarlo.
Ho creato una funzione per pulire il testo che inseriscono gli utenti nel db. Ma non funziona la correzione degli ' e delle "

Codice PHP:


function caratterispecialiIn($testo) {

        

        $testo = addslashes(htmlspecialchars($testo));

        $testo=str_replace("<","&lt;","$testo");

        $testo=str_replace(">","&gt;","$testo");

        $testo=eregi_replace("\'","&rsquo;","$testo"); 

        $testo=eregi_replace("\"","&quot;","$testo"); 

        $testo=eregi_replace("\n","<br/>","$testo");



        return($testo);

                

        }

Ho provato addslashes ho provato la eregi_replace, la str_replace, ho provato l'htmlspecialchars ... non riesco a far scompare l'apice e le virgolette dal testo inviato ...

Codice PHP:


        $titolo=caratteriWebIn(trim($_POST['titolo']));

        $testo=caratteriWebIn(trim($_POST['testo']));

        

        $queryTopic=mysql_query("SELECT * FROM t_topic WHERE idTopic='".$_GET['id']."'");

        $rowTopic=mysql_fetch_array($queryTopic) or die (mysql_error()); 

        

        $testoMod=caratteriWebIn($rowTopic['testo']);



        $rowUpdate="UPDATE t_topic SET titolo='".$titolo."', testo='".$testo."', modificato='".$testoMod."' WHERE idTopic='".$_GET['id']."'";

Cosa sbaglio?

**darbula** · 17-11-2017, 22.12.49

Aspetta... Tu non stai provando un testo "grezzo" ma bensì un testo che verrà salvato in MySQL... La sintassi SQL senza alcun escape "" fa interrompere la query e con questo ti ho dimostrato perché non trovi la corrispondenza.
Segue un esempio per comprendere meglio echo "l'alba"; //output l'alba ... Funzione addslashes("l'alba "); //output l\'alba
PS. Non ho neanche visualizzato il tuo codice poiché mi sono solo basato nella tua espressione per descrivere questo problema.

**exlot** · 17-11-2017, 22.16.21

puoi spiegarmi la storia degli "escape" ? perché più che usare addslashes o le replace della stringa non saprei che fare

**darbula** · 17-11-2017, 22.23.34

Ho aggiunto un esempio nel post precedente... Se hai ancora dubbi chiedi pure

**exlot** · 17-11-2017, 22.24.43

quindi l'ho già fatto, ma non va

**darbula** · 17-11-2017, 22.26.44

Mi prendi una stringa a caso che si basa prima di utilizzare la tua funzione?
Edit: $stringa1 = "\\\""; per ricercare una stringa che abbia \"

**mzanella** · 18-11-2017, 10.57.30

Le funzioni mysql_* sono deprecate. Usando mysqli o PDO potresti risolvere il problema automaticamente usando i prepared statement...

Occhio che eregi_replace (che pure è deprecata...) funziona con espressioni regolari, non puoi passarle direttamente la stringa da sostituire! Se intendi usarla in questo modo, devi piuttosto considerare str_replace.

Inoltre non c'è nessun motivo di interpolare le variabili quando le passi alle funzioni:

Codice PHP:


// Inutile (e forse causa di erorri)
$testo = str_replace("<", "&lt;", "$testo");

// Corretto
$testo = str_replace("<", "&lt;", $testo);

Poi, ma questo immagino sia una svista, definisci una funzione caratterispecialiIn, ma poi nel codice non la usi...

Infine, va bene aggiungere i backslash per evitare SQL Injection e simili, ma non credo che sostituzioni come "\n" in "<br>" siano una buona idea. La base di dati dovrebbe essere indipendente dalla rappresentazione (in questo caso HTML).
Se tu un giorno volessi, per esempio, avere un'applicazione mobile che recupera i dati, ti ritroveresti un testo con elementi HTML come "<br>" anziché "\n" e dovresti ri-convertirlo nel formato originale. Molto più semplice lasciare il testo così com'è e convertirlo una sola volta laddove necessario.

**darbula** · 18-11-2017, 16.20.07

Si potrebbe anche optare per la funzione strtr dove from e to sono da e a... Se non si utilizza la sintassi per gli array si deve avere cura che from e to siano della stessa lunghezza..
Segue un esempio di una stringa già trasformata con l'escape

Codice PHP:


<?php
$var = addslashes("\"'"); //sono 4 bytes
$var = strtr($var, array("\\\"" => "\"", "\\'" => "'")); //sono due bytes
var_dump($var);
?>

per ulteriori approfondimenti dal manuale php consultare le stringhe racchiuse da apici

**karl94** · 20-11-2017, 12.48.40

Quel codice scritto così è vulnerabile a SQL Injection, ossia dà la possibilità ad un malintenzionato di eseguire qualsiasi tipo di query al database. La cosa migliore è usare gli Prepared Statements.

**exlot** · 20-11-2017, 15.15.06

Ragazzi sono vecchio come programmatore... mi consigliate un sito dove aggiornarmi in italiano ovviamente ^_^

**mzanella** · 20-11-2017, 15.29.21

mi consigliate un sito dove aggiornarmi in italiano

https://learnenglish.britishcouncil.org/en, https://encrypted.google.com/search?...earn%20english...

Dai a un uomo un pesce e lo sfamerai per un giorno. Insegnagli a pescare e lo sfamerai per tutta la vita.

-proverbio cinese

Risorse in Italiano se ne possono anche trovare, ma non sempre sono adeguatamente aggiornate. Nel migliore dei casi sono traduzioni più o meno precise di contenuti in Inglese.

**exlot** · 20-11-2017, 15.40.37

Detesto il sito php in inglese T_T mi costringi a leggerlo così ... pffffff
Un sito che spieghi gli aggiornamenti semplicemente ?

**alemoppo** · 20-11-2017, 16.23.35

Originalmente inviato da exlot

Un sito che spieghi gli aggiornamenti semplicemente ?

Non l'ho letto, ma di solito html.it fa articoli carini: prova a dare un'occhiata: http://www.html.it/pag/63163/mysqli-...red-statement/

In ogni caso, la documentazione ufficiale è un must.

Ciao!

Discussione: Apici e Virgolette - come eliminare le interruzioni di codice

LinkBack

Strumenti discussione

Display

Apici e Virgolette - come eliminare le interruzioni di codice

Regole di scrittura