Fonction automatiques ?
8 messages • Page 1 sur 1
Consultez la formation au référencement naturel Google de WebRankInfo / Ranking Metrics
Fonction automatiques ?
le Ven Jan 19, 2007 20:23
Bonjour,
Je suis en train de créer un formaulaire pour mon site et lors de l'envoi vers la base de données j'effctue un addslashes et un htmlentities cependant je me demandai si cela n'était pas maintenant fait automatiquement lors de l'envoi d'une requete sur la base sql ?
Merci de vos réponses
Je suis en train de créer un formaulaire pour mon site et lors de l'envoi vers la base de données j'effctue un addslashes et un htmlentities cependant je me demandai si cela n'était pas maintenant fait automatiquement lors de l'envoi d'une requete sur la base sql ?
Merci de vos réponses
- fablezouave
- WRInaute occasionnel
- Messages: 109
- Inscription: Mer Déc 20, 2006 7:33
le Ven Jan 19, 2007 21:33
salut
Si PHP est configuré pour, le addslashes() est fait automatiquement sur les données provenant de formulaires, cependant cette fonction n'est pas faîte pour proteger les données qu'on passe à une base de données, c'est une erreur très commune que de l'utiliser. Il FAUT utiliser la fonction spécifique à chaque base de données. Pour MySQL, par exemple, la fonction d'echappement est mysql_real_escape_string() :
http://php.net/mysql_real_escape_string. En utilisant addslashes(), tu t'exposes à des vulnaribilités.
Quand à htmlentities(), ça n'a rien à voir, et c'est totalement inutile de l'utiliser.
fab
Si PHP est configuré pour, le addslashes() est fait automatiquement sur les données provenant de formulaires, cependant cette fonction n'est pas faîte pour proteger les données qu'on passe à une base de données, c'est une erreur très commune que de l'utiliser. Il FAUT utiliser la fonction spécifique à chaque base de données. Pour MySQL, par exemple, la fonction d'echappement est mysql_real_escape_string() :
http://php.net/mysql_real_escape_string. En utilisant addslashes(), tu t'exposes à des vulnaribilités.
Quand à htmlentities(), ça n'a rien à voir, et c'est totalement inutile de l'utiliser.
fab
le Ven Jan 19, 2007 22:39
Donc en fait si j'ai bien compris le fonctionnement de la fonction mysql_real_escape_string, il faut que je fasse :
Ps : En fait je me sert juste du htmlentities pour empecher les utilisateurs de mettre du code executable
- Code: Tout sélectionner
$x = mysql_real_escape_string($x);
$y = mysql_real_escape_string($y);
$z = mysql_real_escape_string($z);
mysql_query("INSERT INTO mabase VALUES ('', '".$x."', '".$y."', '".$z."') ") or die(mysql_error());
Ps : En fait je me sert juste du htmlentities pour empecher les utilisateurs de mettre du code executable
le Sam Jan 20, 2007 3:34
fablezouave a écrit:Quand à htmlentities(), ça n'a rien à voir, et c'est totalement inutile de l'utiliser.
fab
Ha bon ? Faudrait dire pourquoi là !
Au contraire j'aurais poussé le vice à dire :
mysql_real_escape_string(htmlentities($variable));
Ou alors à la place d'htmlentities() mettre htmlspecialchars() (ne touche pas à tous les caractères spéciaux, notamment les accents) ou alors strip_tags() qui supprime les balises html
Comme le dit cybrnetik l'htmlentities() transforme les caractères tels que "<>" en entité html qui pourraient avec qqs fonctions javascript (et autres) s'avérer potentiellement dangereuse dans un formulaire !
- fablezouave
- WRInaute occasionnel
- Messages: 109
- Inscription: Mer Déc 20, 2006 7:33
le Sam Jan 20, 2007 11:08
ACth a écrit:htmlentities() n'est utile que pour l'affichage.
mysql_real_escape_string() est utile pour insérer des données dans la base de données.
+1
fab
8 messages • Page 1 sur 1
Formation recommandée sur ce thème :
Formation Référencement naturel Google : apprenez une méthode efficace pour optimiser à fond le référencement naturel dans Google de façon durable... Formation animée par Olivier Duffez et Fabien Facériès, experts en référencement naturel.
Tous les détails sur le site Ranking Metrics : programme, prix, dates et lieux, inscription en ligne.
Lectures recommandées sur ce thème :
- Google ouvre un blog sur la sécurité informatique en ligne
- Yahoo déclare-t-il la guerre aux référenceurs ?
- Gérer l'entête HTTP en PHP
- Référencer un site multilingue
- Froogle, l'annuaire du shopping selon Google
- MyMaps : des cartes personnalisées avec Google Maps
- Google ajoute la Navigation par nom dans sa Toolbar
- Les sites les plus visibles pour le mot Google
- Google rachète Applied Semantics
- Participez au projet 3x3 !
- Fonction avec le même nom, et appel de la fonction d'origine
- passage fonction strtotime en fonction mktime.... HELP
- Fonction Include et Fonction $_SERVER['REQUEST_URI']
- Screenshot automatiques
- Messages automatiques
- Google et requêtes automatiques...
- Tâches automatiques hiwit
- Sous domaines automatiques ?
- mutualisé et sousdomaines automatiques?
- Sous domaines automatiques
- Referencement multilingues automatiques
- Echange de liens automatiques
- sous domaines automatiques [réglé]
- Modificatons Automatiques de fichiers html
- cherche sites de référencement automatiques
Consultez la description détaillée des produits ou services de Google suivants : Google Related Links
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités
- Index du forum
- L’équipe du forum • Supprimer les cookies du forum • Heures au format UTC + 1 heure
- Flux RSS de WebRankInfo :
le forum- les articles des dossiers
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
, traduction par phpBB-fr.com, mod SEO par phpbb-seo.com
Contact
Confidentialité