utilisation mysql_real_escape_string + magic_quotes [Résolu]

[D4rK_C0uaK6]

Bonjour, j'aurais une question sur l'utilisation de cette fonction ou du moins besoin d'une confirmation.

Dans la documentation, il est dit qu'il faut utiliser la fonction "stripslashes" avant si magic_quotes est activé.

Un ami, lui trouvait logique de faire stripslashes(mysql_real_escape_string(...))

La donnée reçue possède déjà les anti-slashs si on a les magic_quotes ?

[Celira]

php.net propose un bout de code qui résume assez bien le problème :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
 
//si les magic quotes sont actives, utilisation de stripslashes
if (get_magic_quotes_gpc()) {
    $lastname = stripslashes($_POST['lastname']);
}
else {
    $lastname = $_POST['lastname'];
}
 
// Si vous utilisez MySQL
$lastname = mysql_real_escape_string($lastname);
 
$sql = "INSERT INTO lastnames (lastname) VALUES ('$lastname')";

L'idée étant que les magic quotes ajoutent des slashes aux données POST et compagnie, la logique par rapport ce qu'utilisait ton ami ce serait plutot mysql_real_escape_string(stripslashes(...));.

Le mieux reste quand même de désactiver les magic quotes

[transgohan]

Il est préférable de tester l'activation des magic_quotes avant de faire un stripslashes().
Car cette dernière enlève un slash où qu'il se trouve.

Ainsi deux chaînes, l'une passant sur un serveur avec magic_quotes et l'autre sans :

Citation:

une chaîne avec un \ pour l'éclater
Une chaîne avec un \ pour l\'éclater

[D4rK_C0uaK6]

Ok merci. Oui c'est exactement ce que je fais. Merci pour la confirmation.