mysql_real_escape_string() suffisant contre les injections SQL?
4 messages
• Page 1 sur 1
-
sff - WRInaute occasionnel
- Messages: 336
- Inscription: 2 Fév 2005
mysql_real_escape_string() suffisant contre les injections SQL?
le Sam Mai 16, 2009 16:14
Bonjour,
Il y a quelques temps pour me protéger des injections sql, j'utilisais des addslashes, mais récemment on m'a dit que ce n'était pas suffisant, dans j'ai recoder l'ensemble de mon site avec mysql_real_escape_string().
Mais voila que depuis peu j'entends parler de mysqli_real_escape_string() qui serait semble t'il plus performant.
Faut-il que je recoder de nouveau tout mon site ou mysql_real_escape_string() est suffisant ?
Il y a quelques temps pour me protéger des injections sql, j'utilisais des addslashes, mais récemment on m'a dit que ce n'était pas suffisant, dans j'ai recoder l'ensemble de mon site avec mysql_real_escape_string().
Mais voila que depuis peu j'entends parler de mysqli_real_escape_string() qui serait semble t'il plus performant.
Faut-il que je recoder de nouveau tout mon site ou mysql_real_escape_string() est suffisant ?
-
blman - WRInaute accro
- Messages: 3077
- Inscription: 5 Sep 2003
Re: mysql_real_escape_string() suffisant contre les injections SQL?
le Sam Mai 16, 2009 18:07
Je viens de lire ça sur la doc PHP : http://fr3.php.net/manual/fr/book.mysqli.php (je ne connaissais pas)
Si il s'agit d'échapper des données, à mon avis, les 2 fonctions agissent exactement de la même manière. Donc à mon avis, garde mysql_real_escape_string(), ça sera déjà très bien comme ça.
Si il s'agit d'échapper des données, à mon avis, les 2 fonctions agissent exactement de la même manière. Donc à mon avis, garde mysql_real_escape_string(), ça sera déjà très bien comme ça.
-
RiPSO - WRInaute passionné
- Messages: 1591
- Inscription: 4 Oct 2007
Re: mysql_real_escape_string() suffisant contre les injections SQL?
le Dim Mai 17, 2009 6:21
pourquoi créer une nouvelle discussion?
http://forum.webrankinfo.com/addslashes-appostrophes-t111189.html
http://forum.webrankinfo.com/addslashes-appostrophes-t111189.html
-
dorian53 - WRInaute passionné
- Messages: 2216
- Inscription: 10 Avr 2005
Re: mysql_real_escape_string() suffisant contre les injections SQL?
le Dim Mai 17, 2009 13:25
sff a écrit:Mais voila que depuis peu j'entends parler de mysqli_real_escape_string() qui serait semble t'il plus performant.
Oui il est vrai que MySQLI est plus performant .
D'une manière générale, l'API MySQLI est la copie de MySQL avec plus de foctionnalité, elle été entièrement recodée depuis PHP5.
sff a écrit:Faut-il que je recoder de nouveau tout mon site ou mysql_real_escape_string() est suffisant ?
Non, quitte à tout recoder pense plutôt à migrer vers l'abstraction de base de données et PDO () parce que dans la version 6 de PHP, seul PDO sera intégré en natif. Les autres APIs seront déplacées dans PECL.
4 messages
• Page 1 sur 1
Lectures recommandées sur ce thème :
- [PHP/MySQL] : se proteger des injections
- sql perso 25 mo suffisant ?
- influence Real Imps - Real Clicks et position google
- escape le ? dans le Rewrite
- synchro entre mysql et sql server
- requête sql en php pour mysql
- [SQL] Instruction conditionnelle IF avec MySQL
- MySQL : optimisation des requêtes sql
- Comment optimiser une requete mysql/sql?
- [PHP/SQL] Associer plusieurs SELECT de tables MySQL
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité
Contact
Confidentialité