Discussion :

[UDSP50]

Bonjour à tous

j'ai un souci que je n'arrive pas à résoudre.

Voici ce que j'ai :
- 1 formulaire
- 1 page de traitement
- une table

Donc, J'ai un formulaire avec un "submit" qui envois vers ma page de traitement pour enregistrement dans ma BDD
ma table est en "utf8_general_ci"
mes colonnes textes de la table sont également en utf8_general_ci

voici le code de ma page de traitement

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
<?php
  //connection au serveur
  include('../config.php');
 
  //modification des caractères avec accents
  mysqli_query($conn,"SET CHARACTER SET 'utf8'");
  //mysqli_query($conn,"SET SESSION collation_connection ='utf8_unicode_ci'");
 
  $date_FR = date('d/m/Y');
 
  //récupération des valeurs des champs:
  $id = "" ;
  $type = $_POST["type"] ;
  $observation = $_POST["observation"] ;
  //création de la requête SQL:
 
  $sql = "INSERT  INTO info_temp(date, type, observation)
VALUES ( '$date_FR', '$type' , '$observation') " ;
 
  $requete = $conn->query($sql);
 
  if($requete)
  {
     header("location:" . "liste_info_temp.php");
  }
  else
  {
     header("location:" . "liste_info_temp.php");
  }
?>
<?php
  }else include('../interdit.php');
?>

Si je mets des accents dans mon texte, cela s'enregistre bien
Cependant, si je mets des apostrophes comme "aujourd'hui" l'enregistrement ce fait pas.

Quelqu'un aurait il une idée pour me sauver

Merci à vous

[Séb.]

Il faut échapper les valeurs injectées au SQL.

Avec PDO on fait $new_value = $pdo->quote($value);

Avec mysqli $new_value = mysqli_real_escape_string($conn, $value);

[binarygirl]

Quelqu'un aurait il une idée pour me sauver

• Lisez bien la doc: https://www.php.net/manual/en/mysqli.query.php
• Documentez-vous sur ce qu'est une injection SQL et le risque majeur que ça présente en termes de sécurité, sans parler des problèmes que ça pose avec certains caractères
• Apprenez à faire des requêtes préparées plutôt - un exemple simple ici: https://www.w3schools.com/php/php_my...statements.asp
• Et effectivement vous pourriez utiliser PDO ou une couche d'abstraction comme un ORM

Ce code n'est absolument pas acceptable en 2023. C'est le genre de code qu'on voyait il y a 20 ans mais qui était déjà vulnérable.
A mon avis, vous êtes tombé sur des vieux tutos et vous n'êtes pas le premier.

Accessoirement, il serait bien que votre formulaire utilise le charset UTF8 aussi, sinon vous risquez de vous retrouver avec des bizarreries au moment d'enregistrer les données, transcodage de certain caractères notamment les accents.

[Séb.]

Ah oui c'est mysqli et non PDO qui est utilisée (pourquoi ?) avec un joyeux mélange de syntaxe objet et procédurale, je corrige mon exemple.

[UDSP50]

Grand merci

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$new_value = mysqli_real_escape_string($conn, $value);

me convient très bien et fonctionne

Encore merci

[binarygirl]

J'espère que vous avez bien lu et compris la doc:

Security: the default character set

The character set must be set either at the server level, or with the API function mysqli_set_charset() for it to affect mysqli_real_escape_string(). See the concepts section on character sets for more information.

Ce n'est pas forcément la panacée que vous croyez si c'est mal implémenté.