Bonjour,
j'ai un gros doute sur ma façon de faire pour l'enregistrement des données en toute sécurité dans une base de données mysql.
voila les traitements que j'applique:
- réception des données d'un formulaire
- si get_magic_quotes_gpc() est activé j'enlève tous les antislashes avec la fonction stripslashes()
- avec une première donnée (par exemple l'utilisateur & mdp) je vérifie dans ma base de données si celui existe de cette manière: "SELECT id FROM comptes WHERE utilisateur='".mysql_real_escape_string($user)."' AND mdp='".mysql_real_escape_string($mdp)."'"
- ensuite j'insère dans ma base de données mon texte toujours en utilisant mysql_real_escape_string().
Ceci est un exemple basique, j'aimerais savoir si tout cela est sécurisé, surtout concernant la suppression des anti-slashes et l'utilisation de la fonction mysql_real_escape_string().
D'avance, merci.
Thierry
Partager