Insertion SQL: comment faites vous?

[zimounet]

Hello!

Je voulais savoir comment faites vous pour sécuriser vos insertions sql.

Deux probleme se pose:

Lorsqu'on fait un htmlentities pour insérer par exemple un url provenant d'un formulaire:

A l'affichage, si il y a des quotes ou des & etc, hé ben sa foire!

Faire un addslashes avant d'insérer les données et un stripslashes pour les réafficher est une bonne méthode?

[dmathieu]

addslashes et stripslashes, c'est ce que j'utilise, apres, le gros probleme des failles, c'est que tant qu'elle n'a pas été exploitée ou découverte, on sait pas si elle existe

[petit-ourson]

Je fais un unique mysql_escape (je crois que c'est ça) et apres c'est au moment de l'affichage que je traite. J'aime pas avoir des base de données encodées ;o)

[zimounet]

Je fais un unique mysql_escape (je crois que c'est ça) et apres c'est au moment de l'affichage que je traite. J'aime pas avoir des base de données encodées ;o)

faudrais savoir! lol c'est bien mysqlescape?

[zimounet]

Je viens de trouver: mysql_escape_string() voir meme mysql-escapte_real_string:
http://doc.domainepublic.net/mysql/doc. ... tring.html

[petit-ourson]

Je viens de trouver: mysql_escape_string() voir meme mysql-escapte_real_string:
http://doc.domainepublic.net/mysql/doc. ... tring.html

oui oui, c'est celle ci ;o)

[spout]

Faire un addslashes avant d'insérer les données et un stripslashes pour les réafficher est une bonne méthode?

Biensur que non !
http://www.webrankinfo.com/forums/viewtopic_41013.htm

"escaper" pour ajouter dans la BDD = OK
mais de là à refaire un stripslashes pour afficher, surement pas !

... Ahhh ces magic quotes...