Discussion :

[carelha]

Bonjour,

j'ai un formulaire de recherche par mots clef et j'ai ajouté addslashes pour gérer les caractères spéciaux

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

	$_SESSION['motsclef'] = addslashes($_POST['motsclef']) ;

j'ai fait un écho de ma requête, pour vérifier que \ est bien ajouté, ce qui est le cas, puisque la requête, avec une recherche comme "d'alzheimer"' me donne

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT count(*) FROM guide were public LIKE '%personne âgée%' AND  (s_nom LIKE '%d\'alzheimer%' OR specifique LIKE '%d\'alzheimer%')

or, quand je cherche avec le mot alzheimer, j'ai bien des résultats, mais quand je cherche avec d'alzheimer, je n'ai aucun résultat, alors que j'ai en bdd des lignes avec "maladie d\'alzheimer" (l'antislashes est intégré dans le texte de la bdd)

Je ne comprends pas du tout pourquoi j'ai 0 résultat, merci à ceux qui pourront m'aider.

[Bisûnûrs]

Au lieu d'utiliser les simples quotes pour les chaînes de ta requête tu peux utiliser \" ce qui te donnera :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
$sql = "SELECT count(*)
        FROM guide
        WHERE public LIKE \"%personne âgée%\"
        AND (s_nom LIKE \"%d'alzheimer%\"
             OR specifique LIKE \"%d'alzheimer%\")";

Et donc pas besoin d'addslashes et pas de problème de requête.

[Mr N.]

Il y a un problème : il ne devrait pas y avoir de slash superflu dans ta base !
Une base de donnée devrait contenir exactement ce qu'à saisit l'utilisateur.
Il s'aisit

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

l'arbre

alors dans phpMyAdmin (ou autre) je devrais voir

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

l'arbre

pas l\'arbre ni autre bizzarrerie.

Que vaut le parametre magic_quotes_gpc dans ton phpinfo ?

[carelha]

magic quote est sur on.

pour les \ intégrés, je ne sais plus pourquoi j'en suis arrivée là, mais c'était réfléchi . j'ai utilisé mysql_real_escape_string avant toutes les données entrées via un formulaire par les utilisateurs, donc il y a des \.

> bisounours je vais voir, merci

[Mr N.]

Soit tu passes ce flag à off, soit tu fais en sortes de travailler avec des chaines naturelles dans tes scripts. Du genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

get_magic_quotes_gpc() ? stripslashes($variable_de_requete) : $variable_de_requete

Ensuite comme d'hab, mysql_real_escape_string à l'enregistrement en bd...

[carelha]

Merci de ta réponse, mais elle n'est pas claire pour moi
soit je mets les magic quote à off

soit je fais stripslashes($variable_de_requete) pour enlever le \ mis par le magic quote quand il est à on, c'est ca ?

et ensuite je rajoute mysql_real_escape_string avant l'intégration en base de données ?

Mais dans ce cas, j'aurais quand même des \ dans ma base de données non ?

Merci de ton aide, ce point est vraiment très confus pour moi (comment ca, ca se voit !?)

et je pensais que les \ en bdd était une sécurité nécessaire, on le voit dans un nombre de tutorial très important