Discussion :

[GTJuanpablo]

bonjour a tous,

je controle en php des données envoyées en get avant de les inserer dans une base de données, voici mes controles:

$nomf=$_GET["nomflux"];
$nomf=stripslashes($nomf);
$nomf=htmlentities($nomf);
$nomf=utf8_encode($nomf);

le probleme est que si je veux envoyer des données comprenant un accent, l'envoie dans la base ne se fait pas. Ou est le probleme?

merci d'avance

[TorF]

Moi je ferai plutôt :

$nomf=$_GET["nomflux"];

// Ici test du type (numérique ou pas) et/ou de la longueur de $nomf

// Protège les caractères spéciaux pour les insérer dans la BDD
$nomf= addslashes($nomf);

Ca suffit pas ?

[Tipoun]

On peut aussi encore plus protéger avec htmlentities() (qui convertit toutes les entités HTML en caractères normaux )
Ce qui donnerait :

$nomf= addslashes(htmlentities($nomf));

Par contre, je ferai la vérification des types en Javascript.

[GTJuanpablo]

l'insertion dans la base ne marche tjs pas, d'ailleur meme sans controles ça ne marche pas si il y a des '

[Tipoun]

Normalement addslashes() rajoute des slashes permettant d'échapper les guillemets simples ( [FONT=courrier]'[/FONT] ), guillemets doubles ( [FONT=courrier]"[/FONT] ), anti-slash ( [FONT=courrier]\[/FONT] ) et NUL (le caractère [FONT=courrier]NULL[/FONT] ).

[trattos]

C'est pas très conseillé de formater des données pour les rentrer dans une base de données, htmlentities() surtout!
Pour obtenir une chaîne de caractères interprétées sans danger dans la requête, il faut utiliser mysql_real_escape_string() ou mysqli_escape_string() si tu travailles avec mysqli sur PHP 5! http://fr2.php.net/manual/fr/function.mysql-real-escape-string.php