Discussion :

[alex75]

Bonjour à tous,
j'ai une petite question, j'ai un formulaire dans une page php avec un charset iso-8859-1.
Je récupère toutes mes valeurs via $_POST et après vérification des champs, je les insère dans la bdd en les convertissant grâce à mysql_real_escape_string.

Il transforme donc les ' en \' par exemple... le pb est que si je fais un SELECT afin d'afficher un enregistrement, je récupère bien entendu un enregistrement avec les backslash... Comment faire pour récupérer les enregistrements sans les caractères spéciaux, générés par real_escape_string?

Exemple: la personne entre => l'amphi
insertion dans la bdd => l\'amphi
et après une requête select, je voudrais afficher => l'amphi et non l\'amphi

Merci pour votre aide.

[alex75]

personne pour m'aider?

[Maximil ian]

Salut,

Il n'est pas normal que les valeurs dans ta base contiennent des caractères échappés (sinon imagine le souk pour faire un moteur de recherche par exemple).

Peux-tu nous montrer un bout de ton code PHP qui insère la valeur d'une variable post dans la base ?

[alex75]

Salut,

Il n'est pas normal que les valeurs dans ta base contiennent des caractères échappés (sinon imagine le souk pour faire un moteur de recherche par exemple).

Peux-tu nous montrer un bout de ton code PHP qui insère la valeur d'une variable post dans la base ?

Salut maximilian,
yes sans pb pour le code php..

Je fais qqchose comme ça

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
if(isset($_POST['submit']))
{
  extract($_REQUEST);
  //Après je fais toutes mes vérifications de champs...
}
 
if(verif)
{
  $query = "INSERT INTO ma_table(id, valeur) VALUES ('', '".mysql_real_escape_string($valeur)."');
  mysql_query($query);
}

Pour résumer, le champ s'appelle <valeur>, j'inscris dans mon champ le mot <l'amphi>.
Après l'extract, je récupère bien <l'amphi> mais avec le real_escape_string, il écrit dans la bdd <l\'amphi>. Et quand je récupère ma <valeur> depuis la bdd, il m'inscrit <l\'amphi> alors que je voudrais qu'il m'affiche <l'amphi>

Avant j'utilisais htmlentities mais j'ai lu que le real_escape était mieux pour lutter contre les sql injections.

[Maximil ian]

Et quand je récupère ma <valeur> depuis la bdd, il m'inscrit <l\'amphi>

Comment la récupères tu ? On peut avoir un extrait du code ?

[alex75]

Et quand je récupère ma <valeur> depuis la bdd, il m'inscrit <l\'amphi>

Comment la récupères tu ? On peut avoir un extrait du code ?

yep, excuse moi j'ai oublié de le mettre, je fais qqch comme ca:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
$query = "SELECT * FROM ma_table WHERE id = 'mon_id'"
$res = mysql_query($query);
if($res)
{
  $row = mysql_fetch_array($res);
  echo $row[1]; //affichage de ma valeur
}

[Maximil ian]

Bizarre... normalement MySQL est censé se débarrasser des antislashes ajoutés par real_escape_string() (cf http://www.developpez.net/forums/vie...alescapestring).

C'est peut-être un problème de configuration de PHP, je déplace dans le forum approprié...

[alex75]

Bizarre... normalement MySQL est censé se débarrasser des antislashes ajoutés par real_escape_string() (cf http://www.developpez.net/forums/vie...alescapestring).

C'est peut-être un problème de configuration de PHP, je déplace dans le forum approprié...

Merci pour le lien, je test ce soir et je vous donne le résultat

est ce peut être parce que je l'imprime comme ça?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
echo 'bonjour'.$valeur.', merci de votre inscription ...';

Ce message est inclu dans un mail text/html - iso-8859-1

[Maximil ian]

Peut-être... Un moyen de vérifier serait d'exécuter la même requête mais dans un client MySQL classique pour voir ce qu'il affiche.

[Mr N.]

Ca vient surement de magic_quotes_gpc = on qui fait un addslashes automatique sur toute donnée qui arrive de l'exterieur. Il faut regarder l'exemple 3 de http://php.net/mysql_real_escape_string : il y a une fonction qui permet de s'affranchir de ce parametre

[loka]

sinon en faisant un stripslashes($var) tu peux enlever les \ ajoutés par magic_quote_gpc.
mais je te conseille si tu peux changer la config de php de mettre magic_quote_gpc à off plutot que de rajouter des stripslashes à chaque fois que tu veux recuperer une variable venant de ta bdd ^^

[siddh]

sinon en faisant un stripslashes($var) tu peux enlever les \ ajoutés par magic_quote_gpc.
mais je te conseille si tu peux changer la config de php de mettre magic_quote_gpc à off plutot que de rajouter des stripslashes à chaque fois que tu veux recuperer une variable venant de ta bdd ^^

+1

si tu ne peux pas le faire car sur un serveur mutualisé, sert toi de ini_set ou des directives apaches dans un htaccess

[stephane eyskens]

+1

si tu ne peux pas le faire car sur un serveur mutualisé, sert toi de ini_set ou des directives apaches dans un htaccess

ini_set ne servira pas à grand chose car les données sont déjà reçues au moment où ini_set sera exécuté.

De plus, en ce qui me concerne, je conseille fortement l'utilisation de magic_quotes_gpc, ça permet d'éviter certaines infiltrations qui pourraient passer à cause de scripts pas assez rigoureux.

[vg33]

Autre solution (déjà donnée dans un topic de ce forum sur la sécurité) : enlever les antislashs avant insertion en bdd :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
function proteger_injection_sql($donnee)
   //  suppression des slashes si magic_quotes_gpc est à 'on'
  {if (get_magic_quotes_gpc()) 
		{$donnee = stripslashes($donnee);}
  // protection si ce n'est pas un nombre
  if (!is_numeric($donnee))
		{$donnee = mysql_real_escape_string($donnee);}
 
	return $donnee;
	}

[alex75]

SUPER
Merci à tous, l'exemple 3 du php marche nickel
BRAVO et encore merci

[alex75]

j'ai peut être cliqué sur résolu un petit peu rapidement

J'ai un petit problème qui persiste...
Dans la bdd, nickel.
Dans l'envoi de mail, nickel.

Cependant, si l'utilisateur ne remplit pas bien un des champs, j'affiche un message d'erreur et laisse ses données dans chaque champ. Là surprise je retrouve avec des \' ... pourquoi? aucune idée...

[siddh]

ben il te manque le stripslashes

[alex75]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
//Insertion dans la BDD, marche nickel
$query = sprintf("INSERT INTO `carte` ( `id`, `nom`, `prenom`, `societe`,`support`, `mail`, `reponse`, `representant`, `telephone`)
VALUES ('', %s, %s, %s, %s, %s, %s, %s, %s);", quoteSmart($nom), quoteSmart($prenom), quoteSmart($societe), quoteSmart($support), quoteSmart($email), quoteSmart($rep), quoteSmart($representant), quoteSmart($tel));
 
...
 
//Construction du formulaire
<input type="text" name="nom" value="<?php echo "$nom" ?>" size="40" maxlength="30" />

Peut être que dans le formulaire je dois aussi mettre value="<?=quoteSmart($nom) ?>" ??

[siddh]

oui si ton quoteSmart fais un stripslashes

[alex75]

ben il te manque le stripslashes

Merci
là en effet, ca marche nickel... mais je dois le mettre à chaque fois, c'est un peu redondant...
Je suis hébergé sur netim donc j'ai pas accès au config php... enfin à ma connaissance, je me trompe peut etre?
sinon, comment le faire via un .htaccess? J'y connais rien en .htaccess, désolé

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
<input type="text" name="nom" value="<?=stripslashes($nom) ?>" size="40" maxlength="30" />

[/code]