Envio de Variables, Help!!

Hola

Código :

$sql = "SELECT * FROM m2_art WHERE division = '$division'"; 

Recuerda que la variable la estas enviado por GET

Código :

$sql = "SELECT * FROM m2_art WHERE division = '".$_GET['division']."'";

Deben validar que la variable $_GET['division'] ó $division tengan el valor que se espera para hacer la sentencia sql , sino es un tremendo error de seguridad.

saludos

Maikel escribió:

Cierto, gravisimo error

Código :

<?php 
   if(isset($_GET['division'])){
      $sql = "SELECT * FROM m2_art WHERE division = '".$_GET['division']."'";
   }else{
      // Mensaje de error
   }
?>

ehhmmm psycho-vnz aun en tu código esta el error.

saludos

Maikel escribió:

Claro estaba pendiente de que recibiera el dato por el GET nada mas....

Código :

<?php 
   if(isset($_GET['division']) && $_GET['division'] > 0){
      $sql = "SELECT * FROM m2_art WHERE division = '".$_GET['division']."'";
   }else{
      // Mensaje de error
   }
?>

perdon!
pero me sigue tirando el mismo error
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/m/m2librerias.com.ar/public_html/libreria10.php on line 172
Ayudaaaaa, cuando hago el click sobre la pagina me reconoce la variable me pone division=Abrochadora, pero cuando me abre la otra pagina me tira el error!!
Alguna idea?

1) Dices que division es "Abrochadora", pero en el if de psyco-vnz te aseguras de que sea un valor numerico($_GET['division'] > 0), osea nunca entrara al if y $sql resultara vacio.

2) estas usando una variable que se crea en el if fuera de el. Si el If nunca se ejecuta te dara error, la solucion correcta es:

Código :

<?php 
   if(isset($_GET['division'])){
      $sql = "SELECT * FROM m2_art WHERE division = '".$_GET['division']."'";
      $result = mysql_query($sql,$db);
      while ($myrow = mysql_fetch_array($result)) { 
            $m2_id = $myrow["m2_id"];
            $m2_div = $myrow["division"];
      }
   }else{
      //mensaje de error
   }
?>

3) isset no verifica que el contenido de $_GET['division'] sea seguro. Se pueden pasar querrys adicionales si haces eso asi.

Osea: Ese codigo es muuuuuy inseguro.

acabo de leer y maikel lo comento. pero creo que psycho-vnz no le entendip =P

neohunter escribió:

Maikel lo que me quiso decir fue que si aun utilizaba

Código :

isset()

No validaba la operación de la división por ejemplo dividir entre 0

y lo que aclaro neohunter.

Es decir, si esperas que esa variable se use para comparar en la sentencia sql con un numero entonces valida que sea realmente un numero(y en el rango que esperas) antes de ejecutar las sentencias; por otro lado si es una cadena escapea las comillas y demas; si el dato viene de una lista de seleccion, pues valida que la variable contenga un valor de esa lista y no otro, y asi sucesivamente.

saludos

Bueno, ya tuve un avance ahora me muestra los titulos fijos, y no tira error, pero no me trae nada de la base, alguna idea??
Muchas Gracias.

ya lo solucionamos por msn .

psycho-vnz escribió:

Tambien tiene falla de seguridad. Hay que verificar que el dato no contenga como por ejemplo ";"