problème d'injection SQL [Résolu]

[matoon]

Bonjour, je n'arrive pas à gérer l'injection SQL.
Je cherche même pas à protéger ma requête, mais plutôt à réussir à faire passer des requêtes où il y a une condition d'égalité avec une valeure contenant une apostrophe.

Exemple

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT * FROM personne WHERE nom='D'Henry'

j'ai déjà essayé avec addslash et j'obtiens une erreur ( 'D'Henry'-> 'D\'Henry l'échappement ne marche pas)

Savez vous comment je peux échapper des caractères dans ce type de situation ?

J'utilise Oracle 10g


merci

[matoon]

C'est bon en fait j'ai trouvé, il suffit tout simplement de doubler le simple quote. Pour une requete avec une égalitée sur une variable, il suffit de remplacer $maVariable par str_replace("'","''",$maVariable) qui va doubler tout les simple quote de votre variable, c'est-à-dire les échapper pour ce cas (Oracle)
voilà

[APommePote]

Citation:

Envoyé par matoon

C'est bon en fait j'ai trouvé, il suffit tout simplement de doubler le simple quote. Pour une requete avec une égalitée sur une variable, il suffit de remplacer $maVariable par str_replace("'","''",$maVariable) qui va doubler tout les simple quote de votre variable, c'est-à-dire les échapper pour ce cas (Oracle)
voilà

Salut je te conseil plutôt d'utiliser le oci_bind_by_name : http://fr.php.net/manual/fr/function...nd-by-name.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
//(code fait de tête à vérifier)
$maVariable = "D'henry";
$db_cnx = ...
 
$requete = 'SELECT * FROM personne WHERE nom = :nom';
$statement = oci_parse($TA_CNX, $requete);
oci_bind_by_name($statement, ":nom", $maVariable);
 
oci_execute ..

Cela fonctionne aussi avec toutes les requetes CRUD (Create Retrieve Update Delete)