Discussion :

[renaudjuif]

Bonjour,

une petite question sur les antislashes:

Tout le monde semble utiliser get_magic_quotes_gpc() pour retourner la config serveur et ajouter les antislashes si besoin, avant une insertion dans la base.

Je n'ai jamais utilisé ça et je fais simplement :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
addslashes(stripslashes($mavariable));

Ca me parait plus simple, et moins gourmand en ressources...
Et ça revient au même, non ?
Et je ne vois que des développements avec get_magic_quotes_gpc()
Il y a une raison que je n'ai pas saisi ?
Comment vous faites, vous

[Yoshio]

moi bêtement htmlentities (avec un trim) mais je ne sait pas si c'est suffisant

[renaudjuif]

Le problème du htmlentities est qu'il convertit 1 caractère en +ieurs.
il peut surcharger la base de données.
Et qu'on ne garde pas les données réelles mais des données "encryptées" en HTML.
Mais c'est vrai, ça aide en particulier contre les failles CSS. J'utilise plus htmlentities à l'affichage qu'à l'insertion.

[gtraxx]

ben pour le savoir c'est facile , tu na qu'as faire le test proposé par php.net

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<?php
echo get_magic_quotes_gpc();        // 1
echo $_POST['lastname'];            // O\'reilly
echo addslashes($_POST['lastname']); // O\\\'reilly
 
if (!get_magic_quotes_gpc()) {
   $lastname = addslashes($_POST['lastname']);
} else {
   $lastname = $_POST['lastname'];
}
 
echo $lastname; // O\'reilly
$sql = "INSERT INTO lastnames (lastname) VALUES ('$lastname')";
?>

Pour les explications technique , faut voir la doc

de mon coter je l'utilise pour d'autre chose :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
function quote_smart ($valeur){
		if (phpversion() < "4.3.0") {
			$valeur = addslashes($valeur);
		}
		else {
			//----stripslashes
			if (get_magic_quotes_gpc()) {
				$valeur = stripslashes($valeur);
			}
			//---protection si ce n'est pas un entier
			if (!is_numeric($valeur)) {
				$valeur = mysql_real_escape_string($valeur);
			}
		}
		return $valeur;
	}

[renaudjuif]

Dans ton exemple, c'est echo addslashes($_POST['lastname']);
et si tu mets un "stripslashes" dedans :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$lastname = addslashes(stripslashes($_POST['lastname']));

c'est pas la même chose que :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
if (!get_magic_quotes_gpc()) {
   $lastname = addslashes($_POST['lastname']);
} else {
   $lastname = $_POST['lastname'];
}

?

[Taum]

Salut,
get_magic_quotes_gpc() te permet d'adapter ton traitement suivant la configuration du serveur.
Dans ton exemple en effet, il n'y a pas de différences si magic_quotes_gpc est activé. Cependant si il est désactivé et que j'envoie par exemple : \\serveur\fichier

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
echo addslashes(stripslashes($_GET['variable']));
--> donne : \\serveur\\fichier ---> problème : correspond à \serveur\fichier (on a perdu un \)
 
 
avec if (get_magic_quotes_gcp()) blabla ...)
--> donne : \\\\serveur\\fichier ---> OK

Donc non, get_magic_quotes_gpc() n'est pas là juste pour faire jolie, mais bien pour faire du code portable

[renaudjuif]

Ok, c'est un bon exemple.
Effectivement mon exemple ne marche pas quand la variable contient des antislashes.
C'est un cas de figure auquel je n'avais pas pensé, utilisant surtout cette vérif pour des données texte entrées par l'utilisateur et qui ne contiennent pratiquement jamais d'antislashes...
Merci de cette précision.

[Soulsight]

de plus tu inséres des données "mal formatées" dans ta base de donnée ....

- plusieurs languages peuvent communiquer avec une base de donnée. Et il n'existe pas toujours l'équivalent addslashes / stripslashs dans le language spécifié.

- L'export n'est pas toujours destiné à un affichage ( export xml ou autre fait avec autre chose que du php par exemple ! )