Insertion SQL: comment faites vous?

Consultez la formation au référencement naturel Google de WebRankInfo / Ranking Metrics

zimounet
WRInaute accro
WRInaute accro
 
Messages: 1796
Inscription: Lun Nov 08, 2004 20:57

Insertion SQL: comment faites vous?

Message le Lun Déc 05, 2005 18:51

Hello!

Je voulais savoir comment faites vous pour sécuriser vos insertions sql.

Deux probleme se pose:

Lorsqu'on fait un htmlentities pour insérer par exemple un url provenant d'un formulaire:

A l'affichage, si il y a des quotes ou des & etc, hé ben sa foire!

Faire un addslashes avant d'insérer les données et un stripslashes pour les réafficher est une bonne méthode?


dmathieu
Modérateur
Modérateur
 
Messages: 6927
Inscription: Ven Jan 09, 2004 16:21

Message le Lun Déc 05, 2005 20:39

addslashes et stripslashes, c'est ce que j'utilise, apres, le gros probleme des failles, c'est que tant qu'elle n'a pas été exploitée ou découverte, on sait pas si elle existe

petit-ourson
WRInaute passionné
WRInaute passionné
 
Messages: 843
Inscription: Lun Mai 31, 2004 15:19

Message le Lun Déc 05, 2005 20:44

Je fais un unique mysql_escape (je crois que c'est ça) et apres c'est au moment de l'affichage que je traite. J'aime pas avoir des base de données encodées ;o)

zimounet
WRInaute accro
WRInaute accro
 
Messages: 1796
Inscription: Lun Nov 08, 2004 20:57

Message le Lun Déc 05, 2005 20:51

petit-ourson a écrit:Je fais un unique mysql_escape (je crois que c'est ça) et apres c'est au moment de l'affichage que je traite. J'aime pas avoir des base de données encodées ;o)



faudrais savoir! lol c'est bien mysqlescape?

zimounet
WRInaute accro
WRInaute accro
 
Messages: 1796
Inscription: Lun Nov 08, 2004 20:57

Message le Lun Déc 05, 2005 20:55

Je viens de trouver: mysql_escape_string() voir meme mysql-escapte_real_string:
http://doc.domainepublic.net/mysql/doc. ... tring.html

petit-ourson
WRInaute passionné
WRInaute passionné
 
Messages: 843
Inscription: Lun Mai 31, 2004 15:19

Message le Mar Déc 06, 2005 0:17

zimounet a écrit:Je viens de trouver: mysql_escape_string() voir meme mysql-escapte_real_string:
http://doc.domainepublic.net/mysql/doc. ... tring.html


oui oui, c'est celle ci ;o)


spout
WRInaute accro
WRInaute accro
 
Messages: 1313
Inscription: Mer Mai 14, 2003 11:05

Re: Insertion SQL: comment faites vous?

Message le Mar Déc 06, 2005 6:22

zimounet a écrit:Faire un addslashes avant d'insérer les données et un stripslashes pour les réafficher est une bonne méthode?


Biensur que non !
http://www.webrankinfo.com/forums/viewtopic_41013.htm

"escaper" pour ajouter dans la BDD = OK
mais de là à refaire un stripslashes pour afficher, surement pas !

... Ahhh ces magic quotes...


Formation recommandée sur ce thème :

Formation Référencement naturel Google : apprenez une méthode efficace pour optimiser à fond le référencement naturel dans Google de façon durable... Formation animée par Olivier Duffez et Fabien Facériès, experts en référencement naturel.

Tous les détails sur le site Ranking Metrics : programme, prix, dates et lieux, inscription en ligne.

Lectures recommandées sur ce thème :



Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités