Discussion :

[GTJuanpablo]

bonjour a tous,

je controle en php des données envoyées en get avant de les inserer dans une base de données, voici mes controles:

$nomf=$_GET["nomflux"];
$nomf=stripslashes($nomf);
$nomf=htmlentities($nomf);
$nomf=utf8_encode($nomf);

le probleme est que si je veux envoyer des données comprenant un accent, l'envoie dans la base ne se fait pas. Ou est le probleme?

merci d'avance

[TorF]

Moi je ferai plutôt :

$nomf=$_GET["nomflux"];

// Ici test du type (numérique ou pas) et/ou de la longueur de $nomf

// Protège les caractères spéciaux pour les insérer dans la BDD
$nomf= addslashes($nomf);

Ca suffit pas ?

[Tipoun]

On peut aussi encore plus protéger avec htmlentities() (qui convertit toutes les entités HTML en caractères normaux )
Ce qui donnerait :

$nomf= addslashes(htmlentities($nomf));

Par contre, je ferai la vérification des types en Javascript.

[GTJuanpablo]

l'insertion dans la base ne marche tjs pas, d'ailleur meme sans controles ça ne marche pas si il y a des '

[Tipoun]

Normalement addslashes() rajoute des slashes permettant d'échapper les guillemets simples ( [FONT=courrier]'[/FONT] ), guillemets doubles ( [FONT=courrier]"[/FONT] ), anti-slash ( [FONT=courrier]\[/FONT] ) et NUL (le caractère [FONT=courrier]NULL[/FONT] ).

[trattos]

C'est pas très conseillé de formater des données pour les rentrer dans une base de données, htmlentities() surtout!
Pour obtenir une chaîne de caractères interprétées sans danger dans la requête, il faut utiliser mysql_real_escape_string() ou mysqli_escape_string() si tu travailles avec mysqli sur PHP 5! http://fr2.php.net/manual/fr/function.mysql-real-escape-string.php

[Tipoun]

J'utilise hemlentities() pour traduire les retours à la ligne dans les textearea.

C'est pas très conseillé de formater des données pour les rentrer dans une base de données, htmlentities() surtout!

Pour quelle raison ?

il faut utiliser mysql_real_escape_string() ou mysqli_escape_string()

Je ne connaissais pas ! C'est vrai que c'est plus pratique et sûrement plus sûr !!

[Space Cowboy]

J'utilise hemlentities() pour traduire les retours à la ligne dans les textearea.

Une chose que j'aimerais beaucoup faire, mais qui n'est pas essenties, si tu trouve un autre moyen ...

Le problème avec les addslahes, c'est que ta base de données sera rempli de /', ce qui n'est pas très joli, et ca peut ausi lourdement faire deconner les recherche.
Par exemple tu devra rechercher nom = "l\'arbre" au lieu de l'arbre.
Si l'arbre est sélectionné à partir d'une listebox, ca te rajoute du code en plus. en addslahes/stripslahes dans tout les sens ...

[Tipoun]

Ah oui ! je n'y avait jamais pensé pour les slashes
Merci !