Bonjour,

Quelle est la meilleure façon de protéger mon code pour qu'on ne puisse pas ajouter un ' dans l'url avec passage des variables en get ?
Je travaille en php5, pas de possibilité d'évoluer pour l'instant.

Voici mon code mais ça ne fonctionne pas pour l'apostrophe :

Code php : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
 
$ref = mysql_real_escape_string($_GET['ref']);
 
 
 
if(!$_GET['ref'] && !$_POST['ref']){
$ref="1";
}
else
{
if (empty($_GET['ref'])){$ref=$_POST['ref'];}else{$ref=$_GET['ref'];}
}
 
$sql = "select * from pp where prod='$ref' ";
$resultat = mysql_query($sql,$conn)  or die('Erreur SQL !'.$sql_ref.'<br>'.mysql_error());
 
if (!$resultat){
$ref="1";
$sql = "select * from categories where prod='$ref' ";
$resultat = mysql_query($sql,$conn)  or die('Erreur SQL !'.$sql.'<br>'.mysql_error());
}

Merci !