Discussion :

[olivierdauxais]

Bonjour à toutes et tous,

Oups, je n'y avais pas pensé avant... J'ai un nouveau membre de mon site dont le nom contient une apostrophe.
Son nom figure bien dans ma base de donnée et il est stocké ainsi: 'O\' Dox',
(Visible ainsi lorsque j'ouvre le document .sql avec mon éditeur de code)

Vous trouverez ci-dessous un extrait de mon code en 3 phases:
1- Petit formulaire d'entrée classique.
2- Réception du POST avec un SANITIZE, vérification si déjà présent dans la BD, sinon echo formulaire de confirmation d'entrée.
3- Réception du POST (hidden) sans SANITIZE (puisque déjà éffectué), vérification si déjà présent dans la BD, sinon insertion dans la BD.

Le problème est le suivant, la valeur peut être entrée dans la BD.
Mais elle n'apparait pas si elle rappelée par l'intermédiaire d'un SANITIZE.
Par contre, elle apparait si elle rappelée sans SANITIZE.

Puisque que ça bug quelque part, je me suis aidé avec un petit var_dump pour voir les variables:

A la 2ème phase, le var_dump donne ceci:
C:\wamp\www\Regist.php:106:string 'O & # 3 9 ; Dox' (length=10) (J'ai rajouté des espaces pour éviter une conversion automatique)
C:\wamp\www\Regist.php:106:int 0

A la 3ème phase, le var_dump donne ceci:
C:\wamp\www\Regist.php:150:string 'O' Dox' (length=6)
C:\wamp\www\Regist.php:150:int 1

Vous remarquerez ci-dessus la différence de valeur et de résultat.
Dans la 2ème phase, l'apostrophe est remplacée par " & # 3 9 ; " (effet du SANITIZE, je suppose) et la requête SQL retourne 0 rangée. (J'ai rajouté des espaces pour éviter une conversion automatique)
Dans la 3ème phase, l'apostrophe est à nouveau une simple apostrophe et la requête SQL retourne 1 rangée.

Conclusion, sans SANITIZE, ça marche. Avec le SANITIZE, ça bug...
Mais ce n'est pas raisonnable de ne pas faire un SANITIZE... N'est-ce pas?
Alors que faire?

Vous trouverez ci-dessous un extrait de mon code:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
 
<?php
 
// 1- Petit formulaire d'entrée, ci-dessous:
 
echo '<form action="Regist.php" method="post">
<p>Family name: <input type="text" name="FamilyName" maxlength="16" /></p>
<p><input type="submit" name="Register" value="Enter" /></p></form>';
 
$MyBase=new mysqli(BDHost,BDUser,BDPass,BDName);
 
// 2- Réception du POST avec un SANITIZE, vérification si déjà présent dans la BD, sinon echo formulaire de confirmation d'entrée.
 
if (isset($_POST['Register'])) {
	$FamilyName=filter_var(trim($_POST['FamilyName']),FILTER_SANITIZE_STRING);
	$Result=$MyBase->query('SELECT * FROM members WHERE FamilyName="'.$FamilyName.'"');
	$N=$Result->num_rows;
	var_dump($FamilyName);
	var_dump($N);
	if ($N==0) {echo '<form action="Regist.php" method="post">
	<input type="hidden" name="FamilyName" value="'.$FamilyName.'" />
	<p><input type="submit" name="RegistConfirm" value="Confirm." /></p></form>';} $Result->free();}
 
// 3- Réception du POST sans SANITIZE (puisque déjà éffectué), vérification si déjà présent dans la BD, sinon insertion dans la BD.
 
if (isset($_POST['RegistConfirm'])) {
	$FamilyName=$_POST['FamilyName'];
	$Result=$MyBase->query('SELECT * FROM members WHERE FamilyName="'.$FamilyName.'"');
	$N=$Result->num_rows;
	var_dump($FamilyName);
	var_dump($N);
	if ($N==0) {$Action=$Base->prepare('INSERT INTO members (FamilyName) VALUES (?)');
		$Statement->bind_param('s', $FamilyName); $RegDone=$Statement->execute();} $Result->free();}
 
$MyBase->close();
?>

[Toufik83]

Son nom figure bien dans ma base de donnée et il est stocké ainsi: 'O\' Dox'

Les valeurs doivent être stockées en brute dans ta table mysql, pas d'échappement et pas de caractères incompréhensibles...

[olivierdauxais]

Merci Toufik83,

Je vais essayer ce que tu proposes.
L'échappement a été fait automatiquement lors de la requête écrite dans mon code.

[Toufik83]

Si j'étais toi, je passe directement à PDO sans me casser la tête ni avec l'encodage ni avec l'échappement.

Tu peux exécuter ce code dans une nouvelle page, et teste l'insertion des apostrophes et des accents aussi (é,à...).

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
 
<!DOCTYPE html>
<html>
<head><meta charset="utf-8" /></head>
<body><!--Séparer le code html du code php -->
         <form action="" method="post">
              <p>Family name: <input type="text" name="FamilyName" maxlength="16" /></p>
              <p><input type="submit" name="Register" value="Enter" /></p>
         </form>
 
<?php
define('BDHost',"localhost");
 define('BDUser',"...");
 define('BDPass',"...");
 define('BDName',"...");
// 1- Petit formulaire d'entrée, ci-dessous:
try {
    $bdd = new PDO('mysql:host='.BDHost.';dbname='.BDName, BDUser, '
               ', array(PDO::MYSQL_ATTR_INIT_COMMAND => 'SET NAMES utf8')//encodage en utf8
    );
} catch(Exception $e) {
      exit('Impossible de se connecter à la base de données.');
}
// 2- Réception du POST avec un SANITIZE, vérification si déjà présent dans la BD, sinon echo formulaire de confirmation d'entrée.
 
if (isset($_POST['Register'])) {
	$FamilyName=htmlspecialchars($_POST['FamilyName']);
	$Result=$bdd->prepare("SELECT * FROM members  WHERE FamilyName=:family");//préparation propre de la requête, pas de variables concaténé !!!
	$Result->bindParam(":family",$FamilyName,PDO::PARAM_STR);//PDO::PARAM_STR est l'équivalent de filter_var... en PDO
	$Result->execute();
	$N=$Result->rowCount();
 
	if ($N==0) {
            ?>
           <form action="" method="post">
	         <input type="text" name="FamilyName" value="<?=$FamilyName;?>" /><!-- l'input est visible juste pour voir à quoi ressemble ce qu'on vient d'écrire...., tu peux le mettre en hidden comme au départ...-->
	         <p><input type="submit" name="RegistConfirm" value="Confirm." /></p>
           </form>
        <?php
        }
	else{
        ?>
		<a style='color:red;font-size:15px'>Ce Nom existe déjà !</a>
	<?php
        } 	
}
 
// 3- Réception du POST sans SANITIZE (puisque déjà éffectué), vérification si déjà présent dans la BD, sinon insertion dans la BD.
 
if (isset($_POST['RegistConfirm'])) {
	$FamilyName=htmlspecialchars($_POST['FamilyName']);
	$Result=$bdd->prepare('SELECT * FROM members WHERE FamilyName=?');
	$Result->execute([$FamilyName]);
	$N=$Result->rowCount();
 
	if ($N==0) {
                $Action=$bdd->prepare('INSERT INTO members (FamilyName) VALUES (:family)');//préparation propre de la requête, pas de variables concaténé !!!
		$Action->bindValue(':family',$FamilyName,PDO::PARAM_STR); 
		$RegDone=$Action->execute();
	} else{
		?>
                  <a style='color:red;font-size:15px'>(RegistreConfirm) : Ce Nom existe déjà !</a>
	        <?php
        }
}
 
$bdd=null;
?>
</body>
</html>

[olivierdauxais]

Merci Toufik83,

Oui, en effet, PDO est certainement plus simple mais je ne maitrise pas du tout PDO car lorsque j'ai appris le php, PDO n'existait pas et je n'ai pas encore pris la peine de me pencher dessus... Et puisque mon site a environ 10.000 lignes en procédural, je reste pour le moment en procédural... Mais je garde en tête ce que tu as dis... J'ai fait un copié/collé de ton code et je m'en servirai le jour où je vais m'amuser à recoder tout mon site en PDO... Un jour !!!

Dans l'immédiat, je crois que je vais simplement essayer de Sanitizer aussi dans la 3eme phase quand bien c'est un peu idiot de le refaire puisque il a été fait en 2ème phase, mais cela reconvertira en brut le "reformatage automatique" lié au POST en hidden... Il me faudra, évidement, modifier les vieilles données déjà entrées dans la base afin d'harmoniser le contenu de ma base et de remplacer l'apostrophe échappée par sa valeur html "& # 3 9 ;" (J'ai mis des espaces pour éviter une conversion automatique sur cette page de forum).

Encore merci pour ton aide.

[Invité]

Bonjour,

1- tu confonds PDO et POO.

2- Quant à "SANITIZE", tu te donnes beaucoup de mal, alors que tes requêtes SQL sont de vraies passoires...