[PHP 4] Soucis de code PHP

Aurélien.R · 04/04/2011, 14h46

Bonjour à tous,

J'ai une question à propos de ce code:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$b=mysql_real_escape_string(strip_tags(htmlentities($a)));

le mysql_real_escape_string est obligatoire pour un formualaire, mais rajouter le strip_tags est il neccessaire, à cause du htmlentities?

de plus, je veut rajouter du md5 pour le mot de passe:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$b=mysql_real_escape_string(strip_tags(htmlentities(md5($a))));

cette forme ne fonctionne pas,

celle ci oui:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$b=md5(mysql_real_escape_string(strip_tags(htmlentities($a))));

peut il y avoir des soucis dans cette dernière?

Merci

sabotage · 04/04/2011, 16h44

Si tu veux utiliser md5(), tu n'as besoin que de lui.

Si tu veux utiliser strip_tags() il faut le faire avant htmlentities(), sinon bien sur il ne fait rien.

mysql_real_escape_string() s'utilise pour insérer des données dans une requête.
htmlentities() pour afficher des données dans une page HTML.

Les deux ne vont pas l'un avec l'autre.

Aurélien.R · 04/04/2011, 18h37

ok merci, je comprends mieux maintenant ^^

donc pour se protéger des caractères spéciaux (lors d'un envoie de formulaire) y'a juste à utiliser mysql_real_escape_string?

sabotage · 04/04/2011, 18h53

Pour empecher l'injection SQL dans une chaine de caractère, mysql_real_escape_string() est suffisant.

On peut aussi chercher a nettoyer la chaine en utilisant strip_tags()

04/04/2011, 14h46	#1
Aurélien.R Invité régulier Aurélien R Inscription : avril 2010 Messages : 18 Détails du profil Informations personnelles : Nom : Aurélien R Informations forums : Inscription : avril 2010 Messages : 18 Points : 9 Points : 9	Soucis de code PHP Bonjour à tous, J'ai une question à propos de ce code: Code : Sélectionner tout - Visualiser dans une fenêtre à part $b=mysql_real_escape_string(strip_tags(htmlentities($a))); le mysql_real_escape_string est obligatoire pour un formualaire, mais rajouter le strip_tags est il neccessaire, à cause du htmlentities? de plus, je veut rajouter du md5 pour le mot de passe: Code : Sélectionner tout - Visualiser dans une fenêtre à part $b=mysql_real_escape_string(strip_tags(htmlentities(md5($a)))); cette forme ne fonctionne pas, celle ci oui: Code : Sélectionner tout - Visualiser dans une fenêtre à part $b=md5(mysql_real_escape_string(strip_tags(htmlentities($a)))); peut il y avoir des soucis dans cette dernière? Merci
	00

04/04/2011, 16h44	#2
sabotage Modérateur Vincent Inscription : juillet 2005 Messages : 14 929 Détails du profil Informations personnelles : Nom : Vincent Informations forums : Inscription : juillet 2005 Messages : 14 929 Points : 16 381 Points : 16 381	Si tu veux utiliser md5(), tu n'as besoin que de lui. Si tu veux utiliser strip_tags() il faut le faire avant htmlentities(), sinon bien sur il ne fait rien. mysql_real_escape_string() s'utilise pour insérer des données dans une requête. htmlentities() pour afficher des données dans une page HTML. Les deux ne vont pas l'un avec l'autre.
	00

04/04/2011, 18h37	#3
Aurélien.R Invité régulier Aurélien R Inscription : avril 2010 Messages : 18 Détails du profil Informations personnelles : Nom : Aurélien R Informations forums : Inscription : avril 2010 Messages : 18 Points : 9 Points : 9	ok merci, je comprends mieux maintenant ^^ donc pour se protéger des caractères spéciaux (lors d'un envoie de formulaire) y'a juste à utiliser mysql_real_escape_string?
	00

04/04/2011, 18h53	#4
sabotage Modérateur Vincent Inscription : juillet 2005 Messages : 14 929 Détails du profil Informations personnelles : Nom : Vincent Informations forums : Inscription : juillet 2005 Messages : 14 929 Points : 16 381 Points : 16 381	Pour empecher l'injection SQL dans une chaine de caractère, mysql_real_escape_string() est suffisant. On peut aussi chercher a nettoyer la chaine en utilisant strip_tags()
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email