[Sécurité] Des \ avant chaque ' [Résolu]

ruty · 09/05/2006, 18h54

Voila , a l'insertion de donnée , je mettais addslashles , et le probleme existait , je l'ai retirer et ca marche , mais j'utilise une fonction edit , qui update le champs , et il me rajouter des "\" , alors que je fais juste un update , comment y remedier? merci

09/05/2006, 19h05

http://ch2.php.net/stripslashes

ruty · 09/05/2006, 20h09

voila pour la plus part de mes actions je mettais

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

addslashes(htmlentities($var))

maintenant je fais ceci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

htmlentities($var)

ca fonctionne , ca ne remet plus des \ , mais niveau injection sql est ce que htmlentities suffit?

par contre , pour l'update ,

ca me rajoute toujours le \

j'ai essayer : - htmlentities et ca rajoute
- htmlentities(stripslashes) , pareil
- stripslashes(htmlentities) , pereil

que dois je faire?

merci

Swoög · 09/05/2006, 20h12

htmlentities doit être effectué quand on récupère les données de la base de données, jamais à l'insertion, ça augmente l'espace occupé pour rien (ne protège pas des injections)

si une fonction rajoute des slashes alors il y a un addslashes en trop, au choix : modifier la dite fonction, rajouter un strislashes à sa suite...

ruty · 09/05/2006, 20h34

quesqui protege des injections alors?

si je mets seulement , stripslashes() ca me mets ceci , quand je veux updater ca : 'e

Citation:

You have an error in your SQL syntax near 'e' WHERE id_user = 7' at line 1

Swoög · 09/05/2006, 20h36

je te conseillerais de mettre le stripslashes à la sortie de la base de données...

cependant, tu n'en as normalement pas besoin... pour protéger tes chaines : http://fr.php.net/mysql_real_escape_string

ruty · 09/05/2006, 20h51

donc tu me conseil de mettre a chaque insertion : mysql_real_escape_string ? afin du lutter en partie des injections?

je mets ceci:

mysql_real_escape_string(stripslashes($valeur))

le \ toujours present , je ne vois pas ce que tu veux dire par le mettre en sortie

Yobs · 09/05/2006, 21h50

Le fait que des antislahes \ soint ajouter automatiquement lors de ton insertion est dû au magic quotes qui doivent être activées dans ton php.ini
Pour entrer tes valeurs dans ta base de donnée sans te soucier de la valeur des magic quotes:

Citation:

<?php
if (!get_magic_quotes_gpc()) {
$variable = addslashes($variable);
}
?>

et lors de la récupération de tes valeurs tu applique htmlentities() et stripslashes() pour enlever les \.

J'ajoute à ce que Swoog a dit qu'appliquer htmlentities() lors de l'insertion dans ta base alourdit non seulement le poids de ta table mais aussi dans un souci de portabilité de ton code il vaut mieux stocker du texte en brut dans ta base et traiter l'affichage à sa sortie.

ruty · 09/05/2006, 21h59

pour htmlentities que a la sortir , comme nl2br , merci

quand aux \ ils sont toujours present, si je modifie l'ini , il me faut un code que je ne connais pas , mais est ce que des lors , ca va changer d'autre chose au site? ou que dans ce cas la?

ruty · 10/05/2006, 22h45

nobody have the solution?

ruty · 10/05/2006, 23h04

i have the solution

j'ai relu ce que yobs a dit , et il faut que a l'affichage de la donner + affichage a l'edit + creation mettre un stripslashe et cela fonctionne

MERCI a tous

09/05/2006, 18h54	#1
ruty Membre régulier Inscription : février 2006 Messages : 188 Détails du profil Informations forums : Inscription : février 2006 Messages : 188 Points : 78 Points : 78	[Sécurité] Des \ avant chaque ' Voila , a l'insertion de donnée , je mettais addslashles , et le probleme existait , je l'ai retirer et ca marche , mais j'utilise une fonction edit , qui update le champs , et il me rajouter des "\" , alors que je fais juste un update , comment y remedier? merci
	00

09/05/2006, 20h09	#3
ruty Membre régulier Inscription : février 2006 Messages : 188 Détails du profil Informations forums : Inscription : février 2006 Messages : 188 Points : 78 Points : 78	voila pour la plus part de mes actions je mettais Code : Sélectionner tout - Visualiser dans une fenêtre à part addslashes(htmlentities($var)) maintenant je fais ceci: Code : Sélectionner tout - Visualiser dans une fenêtre à part htmlentities($var) ca fonctionne , ca ne remet plus des \ , mais niveau injection sql est ce que htmlentities suffit? par contre , pour l'update , ca me rajoute toujours le \ j'ai essayer : - htmlentities et ca rajoute - htmlentities(stripslashes) , pareil - stripslashes(htmlentities) , pereil que dois je faire? merci
	00

09/05/2006, 20h12	#4
Swoög Rédacteur Inscription : janvier 2003 Messages : 6 053 Détails du profil Informations personnelles : Âge : 24 Informations forums : Inscription : janvier 2003 Messages : 6 053 Points : 7 144 Points : 7 144	htmlentities doit être effectué quand on récupère les données de la base de données, jamais à l'insertion, ça augmente l'espace occupé pour rien (ne protège pas des injections) si une fonction rajoute des slashes alors il y a un addslashes en trop, au choix : modifier la dite fonction, rajouter un strislashes à sa suite... __________________ Rédacteur "éclectique" (XML, IRC, Web...) Les Règles du Forum - Mon Site Web sur DVP.com (Développement Web, PHP, (X)HTML/CSS, SQL, XML, IRC) je ne répondrai à aucune question technique via MP, MSN ou Skype : les Forums sont là pour ça !!! Merci de me demander avant de m'ajouter à vos contacts sinon je bloque ! pensez à la balise [code] (bouton #) et au tag (en bas)
	00

09/05/2006, 20h36	#6
Swoög Rédacteur Inscription : janvier 2003 Messages : 6 053 Détails du profil Informations personnelles : Âge : 24 Informations forums : Inscription : janvier 2003 Messages : 6 053 Points : 7 144 Points : 7 144	je te conseillerais de mettre le stripslashes à la sortie de la base de données... cependant, tu n'en as normalement pas besoin... pour protéger tes chaines : http://fr.php.net/mysql_real_escape_string __________________ Rédacteur "éclectique" (XML, IRC, Web...) Les Règles du Forum - Mon Site Web sur DVP.com (Développement Web, PHP, (X)HTML/CSS, SQL, XML, IRC) je ne répondrai à aucune question technique via MP, MSN ou Skype : les Forums sont là pour ça !!! Merci de me demander avant de m'ajouter à vos contacts sinon je bloque ! pensez à la balise [code] (bouton #) et au tag (en bas)
	00

09/05/2006, 19h05	#2
Invité4 Invité(e) Messages : n/a Détails du profil Informations forums : Messages : n/a Points : 0	http://ch2.php.net/stripslashes
	00

09/05/2006, 20h51	#7
ruty Membre régulier Inscription : février 2006 Messages : 188 Détails du profil Informations forums : Inscription : février 2006 Messages : 188 Points : 78 Points : 78	donc tu me conseil de mettre a chaque insertion : mysql_real_escape_string ? afin du lutter en partie des injections? je mets ceci: mysql_real_escape_string(stripslashes($valeur)) le \ toujours present , je ne vois pas ce que tu veux dire par le mettre en sortie
	00

09/05/2006, 21h59	#9
ruty Membre régulier Inscription : février 2006 Messages : 188 Détails du profil Informations forums : Inscription : février 2006 Messages : 188 Points : 78 Points : 78	pour htmlentities que a la sortir , comme nl2br , merci quand aux \ ils sont toujours present, si je modifie l'ini , il me faut un code que je ne connais pas , mais est ce que des lors , ca va changer d'autre chose au site? ou que dans ce cas la?
	00

10/05/2006, 22h45	#10
ruty Membre régulier Inscription : février 2006 Messages : 188 Détails du profil Informations forums : Inscription : février 2006 Messages : 188 Points : 78 Points : 78	nobody have the solution?
	00

10/05/2006, 23h04	#11
ruty Membre régulier Inscription : février 2006 Messages : 188 Détails du profil Informations forums : Inscription : février 2006 Messages : 188 Points : 78 Points : 78	i have the solution j'ai relu ce que yobs a dit , et il faut que a l'affichage de la donner + affichage a l'edit + creation mettre un stripslashe et cela fonctionne MERCI a tous
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email