convierte un ’1,2,3′ en un (campo = {1} OR campo = {2} OR campo = {3})

 c0de, CodeIgniter, Personal, Tecnología  No Responses »
May 312011
 

Para entenderle sí van a tener que saber de PHP.

En varias ocasiones me he visto forzado a guardar en un campo de la base de datos un string así “1,2,3,4,5″, generalmente cada número representa un ID que concierne a una llave foránea. Precisamente porque soy holgazán, me di a la tarea de idear una función que me permitiera crear una cadena SQL válida con tantos OR como números (incluso palabras) separados por comas tenga el campo.

Esta función nace del siguiente caso práctico… tengo una tabla llamada campaña, la cual almacena cierta información, a cada campaña se le pueden asignar “N” cantidad de agentes, ergo hice un listado de agentes que (mediante ajax) se asignan a la campaña en dicho campo con el formato “1,2,3,4,5,6″, cada número significa el id del registro del agente. Para continuar, al consultar la campaña debía extraer el nombre de cada uno de los agentes para listarlos como “asignados” a “x” campaña…

La finalidad es escribir menos y hacer más.

 


	//Este convierte un '1,2,3' en un (campo = {1} OR campo = {2} OR campo = {3})
	function or_sql_cadena ( $parametros = null )
	{
		//el resultado siempre lo declaro al principio y como vacío para que si se cuelan... se lleven un '';
		$result = '';
		//Haciendo que el que llama esta funcíón sepa que debe mandar una rreglo como parámetro.
		if( is_array($parametros) )
		{
			//Variables para todo el flujo de la función.
			$campo_comparacion = '';
			$arr_temporal = array();
			$result_and = '';
			$result_or = '';

			if(array_key_exists('campo_comparacion', $parametros)) // que sí venga el parámetro
			{
				if(!empty($parametros['campo_comparacion'])) //Que el parámetro no sea vacío
				{
					$campo_comparacion = $parametros['campo_comparacion'];
				}
			}

			if(array_key_exists('cadena_texto', $parametros)) // que el parámetro sí venga
			{
				if( !empty($parametros['cadena_texto']) ) //que el paraámetro no sea vacío
				{
					$arr_temporal = explode(',', $parametros['cadena_texto']);
				}
			}
			//Si trae datos el arreglo, etonces continua
			if(count($arr_temporal)>=1)
			{
				//Armando la cadena SQL empezando con el AND
				$result_and .=  ' AND (';
				//por cada posición del arreglo temporal haz:
				foreach($arr_temporal as $idx => $campo_id)
				{
					//si ya trae algo la cadena, entonces métele un OR
					if ($result_or != '') { $result_or .= ' OR '; }
					//aquí hago que el query haga la comparación entre datos con el campo (casi siempre llave foránea) que se va a comparar
					$result_or .= " {$campo_comparacion} = {$campo_id}";
				}
				//concateno lo que armó el for
				$result_and .= $result_or;
				//cierro la condición
				$result_and .= ')';
			}
			//Si hubo incidencias en el for, entonces haz:
			if ($result_or != '')
			{
				//Si el query tiene AND
				if ($result_and != '')
				{
					//regresas la cadena al resultado
					$result = $result_and;
				}
			}

		}
		//regresa la cadena al resultado
		return $result;
	}

La manera en que se invoca dicha función es ésta:


//obtener todos los datos de la campaña
$sql_get_campana = "SELECT * FROM campana cmp WHERE cmp.cmp_id = {$db_indial->escape($campana_id)} AND cmp.cmp_estatus =  {$db_indial->escape(CAMPANA_ACTIVO)}  LIMIT 1; ';
$registro_campana = $db_indial->query($sql_get_campana)->num_rows() == 1 ? $db_indial->query($sql_get_campana)->row() : false;

//obtener todos los datos de los agentes
$agentes_asignados_cadena = (count($registro_campana)>=1) ? $registro_campana->cmp_agentes : ''; // asigno el valor del campo

//por si no trae ningún agente:
$registros_agentes = '';
$sql_get_agentes_or = '';
if(!empty($agentes_asignados_cadena)) // Cuando traigo un dato, entonces preparo la consulta SQL para que haga el OR
{
	$param_or_sql['cadena_texto'] = $agentes_asignados_cadena;
	$param_or_sql['campo_comparacion'] = 'agn.agn_id';
	$sql_get_agentes_or = $this->indial_utilerias->or_sql_cadena($param_or_sql);
	$sql_get_lista_agentes = "SELECT * FROM agente agn WHERE agn.agn_estatus = {AGENTE_ACTIVO}  {$sql_get_agentes_or}  AND agn.agn_enllamada = 0 ";
	$sql_get_lista_agentes .= " AND agn.agn_estatusoperativo IN (SELECT cat_id FROM catalogo WHERE sec_id = {$db_indial->escape(ESTATUS_PANEL_AGENTE)} AND cat_valor0 = UPPER('SI')) ";
	$sql_get_lista_agentes .= "ORDER BY agn_id ASC; ";
	$registros_agentes = $db_indial->query($sql_get_lista_agentes)->num_rows() >= 1 ? $db_indial->query($sql_get_lista_agentes)->result() : false;
} 

//Happy coding.
SociBook del.icio.us Digg Facebook Google Yahoo Buzz StumbleUpon
Posted by byteStriker at 7:42 pm  Tagged with: , , , , , , , , ,

How to write and read files from php

 c0de, Tecnología  1 Response »
Aug 262009
 

Hace ya varias semanas que no escribo nada acerca de programación en ningún lenguaje. Hoy redactaré unos cuantos ejemplos sencillos sobre cómo leer y escribir archivos con el afamado PHP. El ejemplo trata los casos más sencillos para lectura y escritura.

En contexto: me ví enredado en escribir un archivo (log) personalizado para registrar eventos en un programa, a su vez, no tenía ningún programa para leerlo, así que tenía implícita la tarea de leer el archivo. Continue reading »

SociBook del.icio.us Digg Facebook Google Yahoo Buzz StumbleUpon
Posted by byteStriker at 11:14 am  Tagged with: , , , , , , , ,

htmlentities($string,ENT_NOQUOTES, ‘UTF-8′)

 c0de, Tecnología  6 Responses »
Jun 102009
 

Estuve peleando como pendejo contra el puto encoding de html en Internet Explorer, por que resulta que la mamada esa no sabe interpretar el meta tag

  <meta http-equiv="Content-Type" content="text/html; charset=utf8" />

y fué un verdadero pedo encontrar la sintáxis adecuada de htmlentities() para que funcionara bien, después de mucho interpretar el manual, dejo a su disposición un ejemplo que funciona bastante bien, en IE6-7, Opera, FF3 y Chrome. Continue reading »

SociBook del.icio.us Digg Facebook Google Yahoo Buzz StumbleUpon
Posted by byteStriker at 12:25 pm  Tagged with: , , , , , , , ,

sql_insertar() – pg_send_prepare && pg_send_execute

 c0de, Tecnología  No Responses »
Jun 052009
 

Esta semana estuve liado con un script que hiciera el clásico ABC (altas, bajas y cambios) en una BD de PostgreSQL. Sí, como siempre PostgreSQL pero el por que de esa desición es harina de otro costal, vamos al grano, estaba con el script y honéstamente ya se deterioraron mis habilidades de hacer las cosas a pata; tenía rato que no hacía estas chivas, ya me había acostumbrado al metodo CodeIgniter el caso es que me dió mucha hueva hacer el INSERT INTO a la base de datos con la clásiquísima sentencia escrita a mano, con sus campos y valores, entonces pensé “la programación debe ser divertida y ahorrarte trabajo”, así que la hice, no es nada del otro mundo, solamente construye una instrucción SQL (INSERT INTO) con los parametros que se le mandan, funciona con las funciones integradas de php pg_send_prepare() y pg_send_execute() Greets: Continue reading »

SociBook del.icio.us Digg Facebook Google Yahoo Buzz StumbleUpon
Posted by byteStriker at 12:00 pm  Tagged with: , , , , ,

How to send parameters from js to php with prototype in CodeIgniter

 c0de, CodeIgniter, Tecnología  4 Responses »
Apr 302009
 

La semana pasada puse un artículo donde explícaba mi propuesta para el envío de parametros entre modelos y controladores del framework de codeigniter; ahora se me ocurrió la fabulantástica idea de hacer lo mismo, pero esta vez de la vista al controlador. Actualmente uso prototypejs para el manejo de operaciones/acciones con ajax y para los efectillos uso scriptaculous. El caso es que dejaré un ejemplo muy sencillo de como hacer esto, tanto de la vista y el script de JS así como el controlador y obviamente con el ejemplo anterior de pasar parametros como un arreglo al modelo 

//MODELO
/*
*Este es el ejemplo de como el MODELO recibe parametros desde el
*controlador mediante un arreglo descriptivo
*/
<php if (!defined("BASEPATH")) { exit("No direct access allowed");}
class Getusuarios extends Model {

  function __construct(){
    parent::Model();
  } 

  function details($parametros = NULL){
    //Checo que el arreglo de parametros contenga datos
    if (is_array($parametros)){
      //Creo la sentencia SQL para extraer los datos
      $sqlUsuariosDetalle = ' SELECT * ';
      $sqlUsuariosDetalle .= ' FROM Users ';
      $sqlUsuariosDetalle .= ' WHERE uid = ? ';
      $sqlUsuariosDetalle .= ' AND dep = ? ';
      //ejecuto el query a la base de datos pasandole el arreglo que
      //viene del controlador
      $rs = $this->db->query($sqlUsuariosDetalle, $parametros);
      //checo que contenga datos
      if ($rs->num_rows() > 0){
        //en caso de que contenga datos regreso el resultado
        $result = $rs->result();
        return $result;
      //no hay datos, no regreso nada.
      } else { return FALSE; }
    //si no hay parametros, no hay consulta
    } else { return FALSE; }

  }

  function list () {
    //creo la sentencia sql para obtener los datos
    $sqlListaUsuarios = ' SELECT uid, name ';
    $sqlListaUsuarios .= ' FROM Users ';
    $sqlListaUsuarios .= ' WHERE gid >= 12 ';
    //ejecuto el query en la base de datos.
    $rs = $this->db->query($sqlListaUsuarios);
    //checo que traiga datos
    if ($rs->num_rows() > 0){
      //De tener algo, regreso el resultado
      return $rs->result();
    //Si no hay datos, regreso falso
    } else { return FALSE; }

  }
}
?>

Ahora veamos como se aplícan ambos ejemplos en el controlador, tanto para recibir parametros desde la vista con JS mandados con prototype y a su vez como manda los parametros al modelo por medio del arreglo.

//Controlador
<php if (!defined("BASEPATH")) { exit("No direct access allowed");}
class Usuarios extends Controller {

  function __construct(){
    parent::Controller();
    $this->load->model('getusuarios');
  }

  function detalles(){

    //convierto lo que viene de la cadena en un arreglo.
    $param = explode(',',$this->input->post('params'));

    if ($param[0] > -1 ) {

      $dep = $param[1]!=5?$param[1]:-1;

      $dao_params['id'] = $param[0];
      $dao_params['dep'] = $param[1];
      //envío el arreglo de parametros al modelo.
      $recordset = $this->getusuarios->details($dao_params);

      if (count($recordset) > 0) { $data['registros'] = $recordset; } else { $data['registros'] = NULL; }

      $this->load->view('user_details',$data);

    } else { $this->usuarios(); }

  }

  function lista(){

    $recordset = $this->getdepartamentos->list();

    if (count($recordset) > 0) {

      $datos = array('-1'=>"Seleccione");

      foreach($recordset as $rs){ $datos[$rs->id] = $datos[$rs->nombre_dep]; }
      $data['lista_departamentos'] = $datos;

    } else { $data['lista_departamentos'] = NULL; }

    $this->load->view('users_list',$data);
  }
}
?>

//VISTA

Próximamente me pondré a jugar con JSON para poner ejemplos, espero les ayude y les guste el post, por favor no olviden dejar su comentario.
Saludos.

SociBook del.icio.us Digg Facebook Google Yahoo Buzz StumbleUpon
Posted by byteStriker at 12:07 pm  Tagged with: , , , , , , ,

Programación

 c0de  2 Responses »
Apr 222009
 

He estado pensando acerca de unas cuantas cosas que he hecho en PHP con CodeIgniter, me dí cuenta que sí en una función de PHP recibes 1 solo parametro entre controladores y modelos te ahorras unos cuantos teclazos….

Ejemplo de caso habitual de paso de parametros entre controlador y modelo:

****Controlador*****

<?php if (! defined('BASEPATH') ) { exit ('No direct script access allowed'); end();}
class Proove extends Controller{
  function __construct(){
	parent::Controller();
	$this->load->model('proove');
  }

  function index () {$this->proove();}

  function proove ($param1, $param2, $param3 = '', $param4 = -1){
	if (empty ($param3) ) {$param3 = 'GUEST';}
	//doing amazing stuff and stunts with this params
	$var = $this->proove->get_users($param1, $param2, $param3);
	if ($var) {
	  $data['records'] = $var;
	  $this->load->view('index.php',$data);
	}
  }
}

?>

****Controlador*****

<?php if (! defined('BASEPATH') ) { exit ('No direct script access allowed'); end();}

class Proove extends Model{

  function __construct (){
	parent::Model();
  }

  function get_users ($param1, $param2, $param3){
	$sql = 'SELECT * ';
	$sql .= ' FROM users ';
	$sql .= ' WHERE type = \''.$param1.'\'';
	$sql .= ' AND kind = \''.$param2.'\'';
	$sql .= ' AND domain = \''.$param3.'\'';
	$rsproove = $this->db->query($sql);

	if ($rsproove->num_rows()){
	  return $rsproove->result();
	} else {
	  return FALSE;
	}
  }
}

?>

Okay, continuemos… PHP te permite el uso de arreglos asociativos por lo cual podríamos usar esto para el paso de parametros a las funciones que sean necesarios. Lidiar con arreglos es muchas veces enfadoso, más sí no son asociativos, por que la iteración con bucles se vuelve pesada y más sí eres principiante como Yo y no sabes como accesar bien al índice que necesitas; en cambio con un arreglo asociativo (qué para mi gusto son como un hash de perl) puedes dirigirte perfectamente al índice que quieres del arreglo con el que estas trabajando…

La idea es principalmente usar los arreglos asociativos como parametro único, de esta manera podrías solo preocuparte por saber el nombre del índice que esperas y no por n parametros y validarlos todos.

Tengamos en mente el siguiente escenario de programación. Estás usando CodeIgniter (aplicación demo sin la aplicación de esta idea aquí)

Estas haciendo una clase que tiene varios metodos, uno de ellos necesita una serie de parametros muy específicos donde todos esos parametros son requeridos; haces tu validación con JS ó con algun framework, hasta aquí todo bien, te aseguras de que los parámetros llegan perfecto al método de la clase que quieres y haces de nuevo una validación para evitar “que te metan gol”. Una vez hecho eso, entonces comienzas a escribir chingomil (muchas) líneas de código con las que harás cosas impresionantes en tu aplicación. Bueno, imagina que tiempo después de que tu aplicación ha sido liberada alguien se encuentra TAMPER DATA en los agregados de FIREFOX y lo instala en su máquina *no estoy suponiendo que alguien va a hackearte, sino que un individuo curioso con el mínimo grado de conocimientos informáticos, decide probar lo que ha leído en un manualito de 20 minutos por que tiene tiempo libre*. Entonces comienza el juego, el píca un botón y le pregunta sí quiere modificar los parametros enviados, acepta la petición y pum a menear todo. Bueno, ahí tienes que tus validaciones con JavaScript han sido fácilmente burladas. Luego ¿qué sige?, fácil, tu controlador responderá de acuerdo a como ha sido creado, tomará los parametros y jugará con ellos, lo dificil del caso es cuando expones el borrado de usuarios de una tabla ó la alteración de los mismos, ya que puedes caer fácilmente en un SQL Injection Attack o algo por el estilo.

Veámos, aquí va el truco, como no puedes impedir que el usuario sea metiche y juegue con tu trabajo, entonces lo que sigue es ir un paso adelante; puesto que la mayoría de ataques exitosos de cualquier tipo a casi cualquier tipo de sitio son debido a un error humano, pués haremos esto más divertido, tanto para la persona que curiosea la respuesta del sitio como a nosotros mismos como programadores.

CodeIgniter tiene una librería para la base de datos llamada Active Record Class así como una cosa llamada SQL Binding, ambas dos sirven para cosas que tienen que ver con la base de datos. Active Record Class sabe defenderse de SQL Injection Attack, Cross Scripting Attack y otras chucherías del tipo nada más que para mi gusto, la librería es como un diamante en bruto, falta pulirla y en lo personal no me gusta. ¿Sí eres alguien que prefiere construir los queries a mano y sentir el poder del SQL en tus manos?, entonces el siguiente párrafo es para ti, veamos:

****Controlador*****

<?php if (! defined('BASEPATH') ) { exit ('No direct script access allowed'); end();}

class Proove extends Controller{

  function __construct(){
	parent::Controller();
	$this->load->model('proove');
  }

  function index () {$this->proove();}

  function proove (){

	//El último parámetro (TRUE) en $this->input->post('variable', TRUE) protege tu entrada de XSS
	$parametros[0] = $this->input->post('param1',TRUE) == '' ? $this->input->post('param1',TRUE) : '-1' ;
	$parametros[1] = $this->input->post('param2',TRUE) == '' ? $this->input->post('param2',TRUE) : '-1' ;
	$parametros[2] = $this->input->post('param3',TRUE) == '' ? $this->input->post('param3',TRUE) : '-1' ;
	$parametros[3] = $this->input->post('param4',TRUE) == '' ? $this->input->post('param4',TRUE) : '-1' ;
	$var = $this->proove->get_users($parametros);

	if ($var) {
	  $data['records'] = $var;
	  $this->load->view('index.php',$data);
	}
  }
}

?>

****Modelo*****

<?php if (! defined('BASEPATH') ) { exit ('No direct script access allowed'); end();}

class Proove extends Model{

  function __construct (){
	parent::Model();
  }

  function get_users ($parametros){
	if (is_array($parametros)){
	  $sql = ' SELECT * ';
	  $sql .= ' FROM users ';
	  $sql .= ' WHERE type = ? ';
	  $sql .= ' AND kind = ? ';
	  $sql .= ' AND domain = ? ';

	  $rsproove = $this->db->query($sql, $parametros);

	  if ($rsproove->num_rows()){
		return $rsproove->result();
	  } else {
		return FALSE;
	  }
	} else {
	  return FALSE;
	}
  }
}
?>

Notarás que las modificaciones han sido mínimas, pero esto te da a cambio de modificar tu código un poco más de tranquilidad ya que puedes explotar la ventaja de escape de bad characters que un framework como CodeIgniter te ofrece, hay muchísimo más que publicar de esta herramienta y de otras tantas que apenas estoy conociendo y no he tenido tiempo de picar.

Espero que el artículo haya sido de interés y opines al respecto.

PHP CodeIgniter JavaScript Framework SQL Sql Injection Attack XSS

SociBook del.icio.us Digg Facebook Google Yahoo Buzz StumbleUpon
Posted by byteStriker at 4:28 pm  Tagged with: , , , , , , , , , , ,

dev_mode

 c0de  No Responses »
Apr 032009
 

La idea es un tanto vieja, pero nunca se me había ocurrido para un post.

En fechas recientes, mi vida como programador PHP ha tomado un curso prolífico y abundante, no necesariamente (quiero aclarar) soy un gurú de la programación ó de las bases de datos, ni mucho menos, este post va dirigido a los newbies principalmente.

El año pasado adquirí un trabajo como desarrollador, en el empleo me fué otorgada la herramienta CodeIgniter el cual es un framework de PHP que se basa en el MVC creado por smartTalk en decadas pasadas.

No es el motivo principal del post, describir el fw, sino dar una idea con la licencia ARTISTIC LICENSE:

Declaración de variables de desarrollo.

Archivo constants.php ubicado en /system/application/config

//Constante para poner en modalidad DESARROLLO el sistema
//Para que el valor de esta constante surta efecto en las páginas, deberán contener un if
//que anulen por completo el comportamiento normal del sistema para que tomen el valor de la constante
//Y se puedan mover las cosas necesarias a placer.

define('DEV_MODE',TRUE);

Archivo dev.php ubicado en /system/application/config

<?php if (! defined(BASEPATH) ) { exit ('No direct script access allowed'); end();}
/**
*Arreglo de configuración para activar o desactivar cosas, dependiendo del modo en que se encuentra la aplicación.
*
*@access public
*@author Pedro Navarro <geek@geeking.me>
*@return Valores específicos dependiendo del arreglo que se haya seleccionado.
*@name $this->config->item('dev_mode');
*@version 0.1
*@license Artistic License
*/

$config['dev_mode'] = array (

'correo_electronico' => array('email'=>'geek@geeking.me'),
'mes_actual' => array('mes' => '01') // Poner en lugar de 01 el identificador numérico del mes deseado.

);

Ejemplo de uso en un controlador

Archivo sample_controller.php ubicado en /system/application/controllers/

class Sample_controller extends Controller {
var $dev_vars = NULL;

function __construct ()
{
parent:Controller();

if (DEV_MODE)
{
$this->load->config('dev_mode');
$this->$dev_vars = $this->config->item('dev_mode');
}
}

function index ()
{
$month = DEV_MODE?$this->dev_vars['dev_mode']['mes_actual']:date('m');
$data['my_month'] = $month;
$this->load->view('my_view',$data);

}
}

Parece que se escribe más código del necesario, parece también que podría existir un servidor de desarrollo y otro de producción, lo cual es un hermosa práctica, pero en estos días ¿quién en su sano juicio tiene una implementación de este tipo?… La mayoría de las empresas, tienen a sus desarrolladores trabajando en el server de producción y usar algo como esto resultaría algo práctico sí es el caso en el que puede ayudarte.

La manera más confiable de fiarse en algo es la usabilidad de. No estaría de más recibir aportaciones.

Gracias.

SociBook del.icio.us Digg Facebook Google Yahoo Buzz StumbleUpon
Posted by byteStriker at 10:17 am  Tagged with:
© 2012 Geekeandome Suffusion theme by Sayontan Sinha