Discussion :

[ruty]

Voila , a l'insertion de donnée , je mettais addslashles , et le probleme existait , je l'ai retirer et ca marche , mais j'utilise une fonction edit , qui update le champs , et il me rajouter des "\" , alors que je fais juste un update , comment y remedier? merci

[Invité4]

http://ch2.php.net/stripslashes

[ruty]

voila pour la plus part de mes actions je mettais

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

addslashes(htmlentities($var))

maintenant je fais ceci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

htmlentities($var)

ca fonctionne , ca ne remet plus des \ , mais niveau injection sql est ce que htmlentities suffit?


par contre , pour l'update ,

ca me rajoute toujours le \

j'ai essayer : - htmlentities et ca rajoute
- htmlentities(stripslashes) , pareil
- stripslashes(htmlentities) , pereil

que dois je faire?

merci

[Swoög]

htmlentities doit être effectué quand on récupère les données de la base de données, jamais à l'insertion, ça augmente l'espace occupé pour rien (ne protège pas des injections)

si une fonction rajoute des slashes alors il y a un addslashes en trop, au choix : modifier la dite fonction, rajouter un strislashes à sa suite...

[ruty]

quesqui protege des injections alors?

si je mets seulement , stripslashes() ca me mets ceci , quand je veux updater ca : 'e

You have an error in your SQL syntax near 'e' WHERE id_user = 7' at line 1

[Swoög]

je te conseillerais de mettre le stripslashes à la sortie de la base de données...

cependant, tu n'en as normalement pas besoin... pour protéger tes chaines : http://fr.php.net/mysql_real_escape_string