Discussion :

[mecmec]

Bonjour,

j'ai su qu'on devait changer à partir de php 5.5 les mysql en mysqli , est-ce que sa concerne aussi les scripts C, VB etc... ou on peut garder "mysql" ?

Merci d'avance,
salutations

[sabotage]

Ca existe "mysqli" en C et en VB ?

[mecmec]

J'aimerais juste savoir si c'est seulement PHP5.5+ qui veulent changer les commandes "mysql" en "mysqli" ou bien alors c'est le serveur MySQL qui vont remplacer cette nouvelle commande?

[sabotage]

Ca ne concerne que PHP.

[mecmec]

Ok merci, parce-que j'ai de nombreux sites avec de nombreuses pages et j'vais super grave galérer pour changer tout ça en mysqli et une chance que les fichiers C etc... sont pas dans le cas car il y aurait eu du boulot en +.

Pour php , il suffit de changer petit a petit les "mysql" par "mysqli" ? il y a pas d'autre solution?

J'ai testé avec un de mes sites et sa marche assez bien, en ce moment j'essaye d'en faire un deuxieme, un petit peu plus grand car il y a beaucoup + de commandes "mysql" et c'est plus long pour tout changer.


J'ai remarqué qu'avec php 5.4 et mysql (connais pas la version) il fallait obligatoirement mettre ceci : mysql_real_escape_string

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

mysql_query("UPDATE table SET annonce='".mysql_real_escape_string($_POST[annonce])."',...

J'ai été obligé de mettre mysql_real_escape_string car sinon on peut plus mettre de phrase avec des apostrophes comme par exemple:

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
$test = "coucou'test";
mysql_query("UPDATE table SET annonce='$test',...

Ce truc là ne prend pas sur php 5.4, alors que comme ça il prend:

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
$test = "coucou'test";
mysql_query("UPDATE table SET annonce='".mysql_real_escape_string($test)."',...

Il y a pas une autre méthode niveau php.ini pour éviter de mettre mysql_real_escape_string car c'est beaucoup de travail pour changer tout ça de toutes mes pages ?. Peut etre que mysqli peut éviter le "mysqli_real_escape_string" ?


Salutations

[rawsrc]

Salut,

ça veut tout simplement dire que ton site est vulnérable aux injections SQL.

Les commandes d'échappement des valeurs avant persistance sont OBLIGATOIRES sauf si l'utilisation de la librairie pilotant cette même persistance offre un mécanisme automatique de protection : comme PDO avec le mécanisme de préparation.