Discussion :

[carelha]

bonjour,

j'ai un moteur de recherche où l'utilisateur peut entrer des mots via un formulaire de type POST.
J'ai défini ainsi les variables

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$_SESSION['motsclef'] = addslashes($_POST['motsclef']) ;

j'ai ensuite un bout de code pour compter le nombre de mots et les chercher tous

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
$motsclef = $_SESSION['motsclef']; 
		// On explose les mots clefs 
		// en tronquant à chaque espace 
		$motsclef1 = explode(" ",$motsclef); 
		// On compte le nombre de mots entrés par le visiteur 
		$nbr_mots = count($motsclef1);

ma requête est ensuite de la forme

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$sql .= "AND (s_nom LIKE '%$motsclef1[0]%' OR specifique LIKE '%$motsclef1[0]%' );"

le problème, c'est que quand je cherche une expression avec un ' (par exemple l'éléphant) j'ai 3 addslashes et non un seul dans ma requête :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

AND (s_nom LIKE '%l\\\'éléphant%' OR specifique LIKE '%l\\\'éléphant%' );

j'ai essayé addslashes, mysql_real_escape_string et j'ai le même effet.


Autre question.

si certaines variables sont définies grâce à un select, faut-il mettre quand même addslashes ou mysql_real_escape_string avant de les intégrer en BDD ?


Merci pour vos conseils

[Joe Le Mort]

il suffit de faire un stripslashes

[carelha]

merci, j'ai effectivement fait

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$motsclef = stripslashes($_SESSION['motsclef']);

ca fonctionne, mais c'est vraiment pas clair pour moi, j'ai l'impression que les mettre puis les enlever juste après devrait revenir à ne pas en mettre du tout, ce qui n'est pas le cas.

[carelha]

vos réponses se croisent, désolée, je vais regarder ca de plus près.

pour mon autre question, non, ce n'est pas ca :
puis je rentrer en BDD les valeurs d'une variable qui a été définie par une sélection dans un select sans faire addslashes, ou faut il mettre quand même addslashes, alors que l'utilisateur n'a pas pu écrire de texte ?

[Dia_FR]

variable en session = addslashes de variable post

motscles = addslashes de variable en session

=> normal

ou tu fais un seul addslashes, ou t'utilises strislahes

si tu récupères des données d'une BdD, peut-ou les réutiliser telles quelles pour écrire une requête ? c'est ça la question ?
si oui, je dirai oui



edit : encore grillé par Joe le Mort

[Djakisback]

Si tu veux que ton code fonctionne sur toutes les config tu peux tester si les magic quotes sont activés et faire un stripslashes seulement s'ils le sont. Y a un exemple sur la page de mysql_real_escape_string() dans le manuel PHP.
http://www.php.net/manual/fr/functio...ape-string.php

Pour ton autre question il faut protéger toutes les valeurs qui viennent de l'extérieur. L'utilisateur peut créer une page avec un formulaire qui pointe vers ta page et un select qu'il a lui-même créé.

[kankrelune]

Je dirais plutot tester si les magic quotes sont activées si elles le sont faire un stripslashes puis faire un mysql_real_escape_string... que les magic quotes soient activées ou non... .. .

@ tchaOo°

[Djakisback]

C'est ce que je voulais dire

[carelha]

oui, j'ai testé, les magic quote sont activées.

donc votre conseil pour toutes les variables à intégrer dans la BDD c'est

$_SESSION['motsclef'] = stripslashes($_POST['motsclef']) ;

puis

$_SESSION['motsclef1'] = mysql_real_escape_string($_SESSION['motsclef']) ;

(est ce que mysql_real_escape_string(stripslashes($_POST['motsclef']) ) est possible ? )


Autre question j'ai déjà des données dans ma BDD intégrées via PHPmyadmin, qui n'ont pas d'antislashes avant les caractères particuliers....
il existe une solution pour les remettre facilement (= autrement qu'une par une après avoir récupéré le fichier dans excel...)

Merci de votre aide

[Djakisback]

En fait il faut faire le stripslashes() que si les magic quotes sont activés.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
if(get_magic_quotes_gpc()) {
$_SESSION['motsclef'] = stripslashes($_POST['motsclef']) ;
}