Insertion SQL...
4 messages • Page 1 sur 1
Consultez la formation au référencement naturel Google de WebRankInfo / Ranking Metrics
Insertion SQL...
Faut il mieux
Echapper les guillemets et simple guillemets avec addslashes, ou convertir en html avec htmlentities (puis éventuellement ENT_quotes) avant insertion?
Cela ne pose-il pas probleme lors de recherches ou requetes, comparaison, classement etc dans la bdd?
Plus généralement, quel traitement faites vous subire, et de quel manière aux chaines inséré par le visiteur (formulaire etc)
Echapper les guillemets et simple guillemets avec addslashes, ou convertir en html avec htmlentities (puis éventuellement ENT_quotes) avant insertion?
Cela ne pose-il pas probleme lors de recherches ou requetes, comparaison, classement etc dans la bdd?
Plus généralement, quel traitement faites vous subire, et de quel manière aux chaines inséré par le visiteur (formulaire etc)
Re: Insertion SQL...
zimounet a écrit:Plus généralement, quel traitement faites vous subire, et de quel manière aux chaines inséré par le visiteur (formulaire etc)
1° addslashes (Magic Quotes désactivé)
2° strip_tags
3° trim
- petit-ourson
- WRInaute passionné

- Messages: 840
- Inscription: Lun Mai 31, 2004 15:19
J'aurai dit que l'un des deux fonctions suivantes suffiraient :
string mysql_escape_string ( string unescaped_string )
ou
string mysql_real_escape_string ( string unescaped_string [, resource link_identifier] )
J'aime bien conserver une base de données clean, on ne sait jamais si on souhaite la réutiliser avec autre chose.
string mysql_escape_string ( string unescaped_string )
ou
string mysql_real_escape_string ( string unescaped_string [, resource link_identifier] )
J'aime bien conserver une base de données clean, on ne sait jamais si on souhaite la réutiliser avec autre chose.
Je crois que tout est dit dans la doc :
Exemple à la page : http://fr2.php.net/manual/fr/function.m ... string.php
Cette fonction doit toujours (avec quelques exceptions) être utilisée pour protéger vos données avant d'envoyer la requête à MySQL.
...
L'utilisation de la fonction mysql_real_escape_string() sur chaque variable évite les injections SQL. Cet exemple démontre la méthode la plus propre pour envoyer une requête à la base, indépendamment de votre configuration des guillemets magiques.
Exemple à la page : http://fr2.php.net/manual/fr/function.m ... string.php
Si magic_quotes_gpc est activée, appliquez d'abord la fonction stripslashes() à vos données.
4 messages • Page 1 sur 1
Formation recommandée sur ce thème :
Formation Référencement naturel Google : apprenez une méthode efficace pour optimiser à fond le référencement naturel dans Google de façon durable... Formation animée par Olivier Duffez et Fabien Facériès, experts en référencement naturel.
Tous les détails sur le site Ranking Metrics : programme, prix, dates et lieux, inscription en ligne.



le forum