Discussion :

[Voyageur Du Net]

Bonjour tout le monde,

Sur un serveur LAMP, j'ai mis en place un formulaire qui, via la méthode POST, insère des données dans une table mysql.

Les magic quotes étant à off (j'ai vérifié deux fois avec les fonctions phpinfo() et get_magic_quotes_gpc() ), je me contente de faire un seul filtre avant l'insertion des données dans la table :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$data = mysql_real_escape_string($_POST['data']);

// J'insère ensuite $data dans la table via une requête classique INSERT

Et bien curieusement, les données enregistrées en table contiennent des antislashes devant les apostrophes... J'ai mis en place une solution temporaire avec stripslashes()... Mais ça me paraît vraiment pas propre, pas sécurisé, et surtout, j'aimerais comprendre d'où viennent ces antislashes ?

=> Savez-vous d'où ils peuvent venir ?

Merci par avance pour votre aide

[kabkab]

Bonjour,
Dans une portion de la description de cette fonction :

mysql_real_escape_string() protège les caractères spéciaux de la chaîne unescaped_string, en prenant en compte le jeu de caractères courant de la connexion link_identifier. Le résultat peut être utilisé sans problème avec la fonction mysql_query(). Si des données binaires doivent être insérées, cette fonction doit être utilisée.

mysql_real_escape_string() appelle la fonction mysql_escape_string() de la bibliothèque MySQL qui ajoute un slash aux caractères suivants : NULL, \x00, \n, \r, \, ', " et \x1a.

Cette fonction doit toujours (avec quelques exceptions) être utilisée pour protéger vos données avant d'envoyer la requête à MySQL.

[Voyageur Du Net]

Merci pour cette réponse Kabkab (Kabyle comme moi ?),

Une chose que je pensais savoir, mais j'ai des doutes :

Admettons,

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 $data = "Phrase'avec'des'apostrophes";

Si j'insère tel quel $data dans une table, la requête plante à cause des apostrophes.
Par contre, si avant insertion j'échappe les apostrophes avec

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$data = mysql_real_escape_string($data);

le requête fonctionne, et la chaine de caractère enregistrée en base est bien "Phrase'avec'des'apostrophes"

Mysql comprend que les antislashs sont des caractères d'échappement.

Ce qui me fait penser que, je ne sais comment, la variable insérée est

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$data = 'Phrase\\'avec\\'des\\'apostrophes';

(comme si un double "échappement" s'était produit).