| From: | Ever Daniel Barreto <ebarreto(at)telesurf(dot)com(dot)py> |
|---|---|
| To: | pgsql-es-ayuda(at)postgresql(dot)org |
| Subject: | Re: duda entre timestamp y date |
| Date: | 2004-06-03 02:11:19 |
| Message-ID: | 78748969.20040602221119@telesurf.com.py |
| Views: | Raw Message | Whole Thread | Download mbox | Resend email |
| Thread: | |
| Lists: | pgsql-es-ayuda |
Hola Cesar,
El 02/06/2004 a las 09:18 p.m., escribiste:
CA> </form>
CA> <?php
CA> if($continuar)
CA> {
CA> $dbname="dbname=habitantes";
CA> $fecha_h=$agno_h.$mes_h.$dia_h; /*variables del formulario
CA> $fecha_d=date('Y') . '-' . date('n') . '-' . date('j');
CA> $conexion=pg_connect($dbname);
CA> $sql_ins_den="insert into
CA> mitabla
CA>
CA> values($t_hec,'$POST[fecha_d]','$fecha_h');";
CA> pg_exec($conexion,$sql_ins_den);
CA> pg_close($conexion);
CA> }
Deberías de validar primero los datos que llegan por POST
antes de utilizarlos y enviarlos directamente a la BD. Podrías
utilizar incluso algunas de las Funciones de Fecha y Hora
disponibles en PHP para saber si la fecha que te llega por
POST es la correcta.
>>Ahora, en tu codigo no veo validacion del campo que obtienes del
>>formulario: que pasa si yo envio un valor que tenga un ' y luego el
>>codigo SQL que se me antoje? Por favor no me digas que Javascript lo
>>valida, porque esto se puede deshabilitar facilmente. Y decir que la
>>pagina "no funciona sin Javascript" tampoco sirve, porque es muy facil
>>construir un robot que recorra las paginas y rellene formularios como a
>>uno se le plazca. Lo se porque en la empresa donde solia trabajar
>>haciamos eso (no para romper seguridad sino para hacer verificaciones en
>>las paginas).
CA> Primero: el SI no va a salir a la red (por ahora, y creo que nodeberia
CA> salir nunca)
CA> Segundo: ciertamente la validacion la estoy haciendo con javascript
CA> (mientras aprendo a hacerlo con el postgres?)
CA> Tercero: bienvenida sea cualquier sugerencia, para leer...
Como ya te dijo Alvaro, el tema de validación de a través de
Javascript no siempre es recomendable ya que como ya sabes, no
todos los usuarios lo tienen habilitado. A mi parecer, te
convendría inventir un poco más de tiempo en validar los datos que
vienen de afuera, y evitarte posibles y futuros problemas. De
igual manera, el día que alguien se le ocurra sacar tu SI fuera de
la Red, no te supondrá cambios grandes y ya estarás preparado.
Cordiales saludos,
-------------------
Ever Daniel Barreto
e.mail: ebarreto(at)telesurf(dot)com(dot)py :: Nexus IT
02/06/2004 10:05 p.m.
---------------------
I like kids, but I don't think I could eat a whole one
---------------------
| From | Date | Subject | |
|---|---|---|---|
| Next Message | Gorka | 2004-06-03 07:49:40 | PHP + APACHE + POSTGRES |
| Previous Message | Cesar A. | 2004-06-03 01:18:42 | Re: duda entre timestamp y date |