Discussion :

[JackBeauregard]

Bonjour,

J'ai un problème avec l'utilisation de mysql_real_escape_string sur un tableau expédié via $_POST[].

C'est simple, j'ai plusieurs checkbox :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<input type="checkbox" name="supprimer[]" value="'.$R[id].'">

Quand le formulaire est envoyé, à réception, je cherche à le filtrer avant d'utiliser son contenu dans une requête sql (question de sécurité, bien sûr).

Donc je fais ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
$_POST['supprimer']=
htmlentities(mysql_real_escape_string($_POST['supprimer']));

La requête sql, c'est ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
SELECT
 id
 FROM 
messagerieRecu 
WHERE
 id 
IN (".implode(',', $_POST["supprimer"]).")

Donc la requête fonctionne bien si je supprime le filtre par mysql_real_escape_string, mais si je le laisse j'obtiens les erreurs :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
Warning: mysql_real_escape_string() expects parameter 1 to be string, array given in /home.2/site/www/messages-recus.php on line 35
 
Warning: implode(): Bad arguments. in /home.2/site/www/messages-recus.php on line 36
 
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home.2/site/www/messages-recus.php on line 39
 
Warning: mysql_free_result(): supplied argument is not a valid MySQL result resource in /home.2/site/www/messages-recus.php on line 44

Le problème bien sûr c'est que je dois filtrer ma variable $_POST[supprimer] avant de l'utiliser dans la requête.

Alors comment puis-je faire ici svp ?

[wamania]

arning: mysql_real_escape_string() expects parameter 1 to be string, array given in /home.2/site/www/messages-recus.php on line 35

Warning: implode(): Bad arguments. in /home.2/site/www/messages-recus.php on line 36

il te dit que c'est un tableau, donc agit sur chaque élément du tableau. Soit avec une boucle, ou mieux, avec array_map ou array_filter
par exemple

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 $tab = array_map('mysql_real_escape_string', $_POST['supprimer']);

[JackBeauregard]

Oui je mettais dis, qu'il fallait utiliser une boucle.

Que penses-tu de ça, Wamania :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
<?php 
$supprimer = array(); 
foreach( $_POST['supprimer'] as $valeur ) { 
  $supprimer[] = htmlspecialchars( mysql_real_escape_string( $valeur ) ); 
} 
?>

Ou alors :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<?php 
$supprimer = array_map( 'mysql_real_escape_string', $_POST['supprimer'] ); 
$supprimer = array_map( 'htmlspecialchars', $supprimer ); 
?>

Ce qui m'étonne ici, c'est que $supprimer puisse contenir tout un tableau sans qu'il n'y ai de précisé les signes [].
Et d'ailleurs, ces deux possibilités sont-elles bonnes ? (sachant que le contenu de $_POST['supprimer'] est une suite d'entier numérique.

[wamania]

Les deux sont bons.

Array_map renvoie déjà un tableau, c'est pour ça qu'on n'a pas besoin des []

si tu fait pleins de fonctions sur tes entrées, préfére la boucle, sinon, le array_map est plus propre je trouve.

A savoir, le array_map peut prendre des fonctions définis soit même

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
function filtre($str)
{
    return htmlspecialchars(mysql_real_escape_string($str));
}
 
$tab = array_map('filtre', $_POST['supprimer']);

[JackBeauregard]

Et ça alors :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<?php 
$supprimer = array_map( 'intval', $_POST['supprimer'] ); 
$sql = 'SELECT id FROM messagerieRecu WHERE id IN (' . implode( ', ', $supprimer) . ')'; 
?>

D'après ce que j'ai pu lire, ce serait encore mieux et intraficable. Mais pourquoi ?

[wamania]

Si tu sais que tu n'attend que des nombres entier, alors oui, c'est encore mieux.
le htmlspecialchars permet de se protéger contre les XSS (Cross site scripting) en encodant les < et > (entre autres) éventuellement présents.
Si tu fais en sorte que seul les nombres peuvent passé, alors plus de soucis de <, de > de quote ', etc...

Mais plutot que d'appliquer intval, qui risque de te retourner des false que tu insérerait dans ta bdd, je crois qu'il vaut mieux ici faire une boucle pour vérifier si chaque élément du tableau est bien un int, sinon, tu stoppes ou tu enlèves l'élément.