Discussion :

[Invité]

Bonjour,

j’utilise phpreader afin de récupérer des éléments depuis un fichier .xls, et les insérer en DB.

lorsque j'utilise mysql_real_escape_string afin d'échapper les quotes dans le traitement rien ne se passe , par contre lorsque je test sur une variable externe, j'échappe bien les quotes.

Voici mon code

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
$contenu = $data->sheets[0]['cells'][$i][$j];
//$contenu=htmlentities($contenu, ENT_QUOTES, "UTF-8");
$contenu = utf8_encode(htmlspecialchars($contenu, ENT_QUOTES));
//$contenu = utf8_encode(addslashes($contenu));
$tab_cellule[$j] = $contenu;

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$createur=mysql_real_escape_string(addslashes($tab_cellule[++$a]));die($createur); //toej'jn

Cet essai fonctionne

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$str=mysql_real_escape_string("toej'jn");die($str); //toej\'jn

[rawsrc]

Bonjour,

euh : mysql_real_escape_string() échappe déjà les données en paramètre. Pourquoi tu viens y coller un addslashes() au milieu ?

Ensuite, htmlspecialchars() n'a d'utilité que pour le rendu html et rien d'autre. Pour manipuler tes données dans tes script, tu ne dois pas l'utiliser.

Voici à quoi devrait ressembler ton code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<?php
 
$contenu         = utf8_encode($data->sheets[0]['cells'][$i][$j]);
$tab_cellule[$j] = $contenu;
$createur        = mysql_real_escape_string($tab_cellule[++$a]);
 
 
// et pour le rendu html d'une page web
echo htmlspecialchars($contenu, ENT_COMPAT, 'utf-8');
 
// ou
 
mb_internal_encoding('utf-8'); // à définir une fois
echo htmlspecialchars($contenu, ENT_COMPAT);

PS : les fonctions mysql_* sont obsolètes, il faut migrer vers mysqli_* ou PDO

[Invité]

Bonjour,

euh : mysql_real_escape_string() échappe déjà les données en paramètre. Pourquoi tu viens y coller un addslashes() au milieu ?

Pour tester car mysql_real_escape_string() ne fonctionnait pas

Ensuite, htmlspecialchars() n'a d'utilité que pour le rendu html et rien d'autre. Pour manipuler tes données dans tes script, tu ne dois pas l'utiliser.

oui merci, C'est ce que j'ai lu en me documentant dernièrement

Voici à quoi devrait ressembler ton code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<?php
 
$contenu         = utf8_encode($data->sheets[0]['cells'][$i][$j]);
$tab_cellule[$j] = $contenu;
$createur        = mysql_real_escape_string($tab_cellule[++$a]);
 
 
// et pour le rendu html d'une page web
echo htmlspecialchars($contenu, 'utf-8');
 
// ou
 
mb_internal_encoding('utf-8'); // à définir une fois
echo htmlspecialchars($contenu);

PS : les fonctions mysql_* sont obsolètes, il faut migrer vers mysqli_* ou PDO

Merci j'ai résolu le problème en passant par cette solution :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
$contenu = $data->sheets[0]['cells'][$i][$j];
$contenu=htmlentities($contenu, ENT_QUOTES, "UTF-8");
 
$createur  = mysql_real_escape_string($tab_cellule[++$a]);

[rawsrc]

Salut,

effectivement pour fonctionner mysql_real_escape_string() a besoin d'une connexion ouverte avec la base de données.