Discussion :

[007007]

Salut,

si j'ai bien compris pour un enregistrement d'une donnée en mysql on doit generalement faire un addslaches afin d'ignorer les ('), mais si on mettait avant htmlspecialchars qui encode automatiquement ses caractheres, on aurait plus besoin des fonctions addslaches et stripslaches non ? puisque les ' seront transfomés en &#039 ?

voila, c'était juste une question que je posais depuis ce matin :p


(on aura plus besoin de magic quotes gpc d'ailleurs, alalal je commence à tout melanger)

[Séb.]

si j'ai bien compris pour un enregistrement d'une donnée en mysql on doit generalement faire un addslaches afin d'ignorer les (')

Préfère mysql_real_escape_string( ) à addslashes( ).
De plus fait attention aux magic-quotes : http://www.php.net/manual/fr/security.magicquotes.php

mais si on mettait avant htmlspecialchars qui encode automatiquement ses caractheres, on aurait plus besoin des fonctions addslaches et stripslaches non ? puisque les ' seront transfomés en ' ?

Oui mais non, tu stockerais alors des entités HTML et tant que possible du HTML n'a rien à faire dans une BdD. Les données de la BdD doivent être le plus neutre possible.
Pourquoi ? Imagine que tu veuilles faire une sortie texte, tu te retrouverais avec des " à décoder.

[007007]

php 6 a vu le jour ? je savais pas ça

euh sinon pour le magic quotes gpc c'est activé dans mon hebergeur mutu, je ne peux rien faire

sinon qu'est ce que tu suggerres comme traitement pour une variable avant de l'inserer dans une bdd ?

merci

[Séb.]

Ce que je fais :
Si magic-quotes actives : stripslashes( ) sur tous les éléments de $_GET, $_POST, etc. et addslashes( ) au besoin
Avant insertion MySQL : mysql_real_escape_string( )
C'est tout

[FoxLeRenard]

Ce que je fais :
Si magic-quotes actives : stripslashes( ) sur tous les éléments de $_GET, $_POST, etc. et addslashes( ) au besoin
Avant insertion MySQL : mysql_real_escape_string( )
C'est tout

Oui et avec sa disparition dans PHP6, de toute façon on ne rique rien d'écrire un truc comme ça

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
 
 
 
 if(!get_magic_quotes_gpc() )
     {
     $Lnom =addslashes($Lnom);
     $Ltxt =addslashes($Ltxt);
     }
      else
       {
        $Lnom =str_replace("'","''",$Lnom);
        $Ltxt =str_replace("'","''",$Ltxt);
       }