Discussion :

[ruty]

Voila , a l'insertion de donnée , je mettais addslashles , et le probleme existait , je l'ai retirer et ca marche , mais j'utilise une fonction edit , qui update le champs , et il me rajouter des "\" , alors que je fais juste un update , comment y remedier? merci

[Invité4]

http://ch2.php.net/stripslashes

[ruty]

voila pour la plus part de mes actions je mettais

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

addslashes(htmlentities($var))

maintenant je fais ceci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

htmlentities($var)

ca fonctionne , ca ne remet plus des \ , mais niveau injection sql est ce que htmlentities suffit?


par contre , pour l'update ,

ca me rajoute toujours le \

j'ai essayer : - htmlentities et ca rajoute
- htmlentities(stripslashes) , pareil
- stripslashes(htmlentities) , pereil

que dois je faire?

merci

[Swoög]

htmlentities doit être effectué quand on récupère les données de la base de données, jamais à l'insertion, ça augmente l'espace occupé pour rien (ne protège pas des injections)

si une fonction rajoute des slashes alors il y a un addslashes en trop, au choix : modifier la dite fonction, rajouter un strislashes à sa suite...

[ruty]

quesqui protege des injections alors?

si je mets seulement , stripslashes() ca me mets ceci , quand je veux updater ca : 'e

You have an error in your SQL syntax near 'e' WHERE id_user = 7' at line 1

[Swoög]

je te conseillerais de mettre le stripslashes à la sortie de la base de données...

cependant, tu n'en as normalement pas besoin... pour protéger tes chaines : http://fr.php.net/mysql_real_escape_string

[ruty]

donc tu me conseil de mettre a chaque insertion : mysql_real_escape_string ? afin du lutter en partie des injections?

je mets ceci:

mysql_real_escape_string(stripslashes($valeur))

le \ toujours present , je ne vois pas ce que tu veux dire par le mettre en sortie

[Yobs]

Le fait que des antislahes \ soint ajouter automatiquement lors de ton insertion est dû au magic quotes qui doivent être activées dans ton php.ini
Pour entrer tes valeurs dans ta base de donnée sans te soucier de la valeur des magic quotes:

<?php
if (!get_magic_quotes_gpc()) {
&#160;&#160;&#160;$variable = addslashes($variable);
}
?>

et lors de la récupération de tes valeurs tu applique htmlentities() et stripslashes() pour enlever les \.

J'ajoute à ce que Swoog a dit qu'appliquer htmlentities() lors de l'insertion dans ta base alourdit non seulement le poids de ta table mais aussi dans un souci de portabilité de ton code il vaut mieux stocker du texte en brut dans ta base et traiter l'affichage à sa sortie.

[ruty]

pour htmlentities que a la sortir , comme nl2br , merci

quand aux \ ils sont toujours present, si je modifie l'ini , il me faut un code que je ne connais pas , mais est ce que des lors , ca va changer d'autre chose au site? ou que dans ce cas la?

[ruty]

nobody have the solution?

[ruty]

i have the solution

j'ai relu ce que yobs a dit , et il faut que a l'affichage de la donner + affichage a l'edit + creation mettre un stripslashe et cela fonctionne


MERCI a tous