mysql_real_escape_string [AIDE] ?

noobyyy · 14/01/2010, 16h37

Bonjour voici un bout de code que vous comprendrez très bien sauf qu'il ne marche pas !

Alors moi sur un tuto j'ai cru comprendre que la fonction mysql_real_escape_string nous aidez contre les attaques à injections mais lorsque je met cette fonction en application ça ne marche jamais.

Pouvez-vous m'aider à enfin comprendre.

ne fonctionne pas:

Code :

if($result_mdp = mysqli_query($link, 'select me_mdp from membre where me_pse = "'.mysql_real_escape_string($pseudo).'" and me_mdp = "'.mysql_real_escape_string(md5($mdp)).'" '))

fonctionne:

Code :

if($result_mdp = mysqli_query($link, 'select me_mdp from membre where me_pse = "'.$pseudo.'" and me_mdp = "'.md5($mdp).'" '))

grunk · 14/01/2010, 16h58

Parce que tu utilise mysql_real ..; alors que tu utilise mysqli ?

Cela marchera sans doute mieux avec : http://fr.php.net/manual/fr/mysqli.r...ape-string.php

Note : faire un escape après le md5 du mot de passe ne sert à rien

L'inverse à la rigueur :p

noobyyy · 14/01/2010, 17h09

d'accord merci

donc est-ce que ceci fonctionne:

Code :

	$pseudo = mysqli_real_escape_string($link, $pseudo);
	$mdp = mysqli_real_escape_string($link, $mdp);
	
	if($result_login = mysqli_query($link, 'select me_pse from membre where me_pse = "'.$pseudo.'" '))

est-ce que les variables $pseudo et $mdp seront protégés durant les autres requêtes ?

14/01/2010, 16h37	#1
noobyyy Débutant(e) Date d'inscription: février 2009 Messages: 280	mysql_real_escape_string [AIDE] ? Bonjour voici un bout de code que vous comprendrez très bien sauf qu'il ne marche pas ! Alors moi sur un tuto j'ai cru comprendre que la fonction mysql_real_escape_string nous aidez contre les attaques à injections mais lorsque je met cette fonction en application ça ne marche jamais. Pouvez-vous m'aider à enfin comprendre. ne fonctionne pas: Code : if($result_mdp = mysqli_query($link, 'select me_mdp from membre where me_pse = "'.mysql_real_escape_string($pseudo).'" and me_mdp = "'.mysql_real_escape_string(md5($mdp)).'" ')) fonctionne: Code : if($result_mdp = mysqli_query($link, 'select me_mdp from membre where me_pse = "'.$pseudo.'" and me_mdp = "'.md5($mdp).'" '))

14/01/2010, 16h58	#2
grunk Membre chevronné Date d'inscription: août 2003 Localisation: Dijon Âge: 25 Messages: 620	Parce que tu utilise mysql_real ..; alors que tu utilise mysqli ? Cela marchera sans doute mieux avec : http://fr.php.net/manual/fr/mysqli.r...ape-string.php Note : faire un escape après le md5 du mot de passe ne sert à rien L'inverse à la rigueur :p __________________ Mon blog technique http://www.widgamer.com

14/01/2010, 17h09	#3
noobyyy Débutant(e) Date d'inscription: février 2009 Messages: 280	d'accord merci donc est-ce que ceci fonctionne: Code : $pseudo = mysqli_real_escape_string($link, $pseudo); $mdp = mysqli_real_escape_string($link, $mdp); if($result_login = mysqli_query($link, 'select me_pse from membre where me_pse = "'.$pseudo.'" ')) est-ce que les variables $pseudo et $mdp seront protégés durant les autres requêtes ?

		Forum des professionnels en informatique > PHP > PHP & SGBD
mysql_real_escape_string [AIDE] ?

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email