Insertion SQL...

zimounet
WRInaute passionné
WRInaute passionné
 
Messages: 1796
Inscription: 8 Nov 2004

Insertion SQL...

Message le Lun Oct 24, 2005 5:19

Faut il mieux

Echapper les guillemets et simple guillemets avec addslashes, ou convertir en html avec htmlentities (puis éventuellement ENT_quotes) avant insertion?

Cela ne pose-il pas probleme lors de recherches ou requetes, comparaison, classement etc dans la bdd?

Plus généralement, quel traitement faites vous subire, et de quel manière aux chaines inséré par le visiteur (formulaire etc)


spout
WRInaute accro
WRInaute accro
 
Messages: 4106
Inscription: 14 Mai 2003

Re: Insertion SQL...

Message le Lun Oct 24, 2005 5:38

zimounet a écrit:Plus généralement, quel traitement faites vous subire, et de quel manière aux chaines inséré par le visiteur (formulaire etc)


1° addslashes (Magic Quotes désactivé)
2° strip_tags
3° trim

petit-ourson
WRInaute impliqué
WRInaute impliqué
 
Messages: 855
Inscription: 31 Mai 2004

Message le Lun Oct 24, 2005 8:09

J'aurai dit que l'un des deux fonctions suivantes suffiraient :

string mysql_escape_string ( string unescaped_string )
ou
string mysql_real_escape_string ( string unescaped_string [, resource link_identifier] )

J'aime bien conserver une base de données clean, on ne sait jamais si on souhaite la réutiliser avec autre chose.

sgaze
WRInaute impliqué
WRInaute impliqué
 
Messages: 538
Inscription: 2 Fév 2004

Message le Lun Oct 24, 2005 9:23

Je crois que tout est dit dans la doc :

Cette fonction doit toujours (avec quelques exceptions) être utilisée pour protéger vos données avant d'envoyer la requête à MySQL.
...
L'utilisation de la fonction mysql_real_escape_string() sur chaque variable évite les injections SQL. Cet exemple démontre la méthode la plus propre pour envoyer une requête à la base, indépendamment de votre configuration des guillemets magiques.


Exemple à la page : http://fr2.php.net/manual/fr/function.m ... string.php

Si magic_quotes_gpc est activée, appliquez d'abord la fonction stripslashes() à vos données.


Si vous avez aimé cette discussion, partagez-la sur vos réseaux sociaux préférés :

Lectures recommandées sur ce thème :



Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités