Discussion :

[Sayrus]

Hello all,

J'ai fait un bête moteur de recherche pour retournée des infos depuis une DB.

J'utilise

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

addslashes($var1)

pour alimenter ma DB.

et

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

stripslashes($var1)

pour retournée le résultat sans les /

Le problème, si je fais une recherche suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$keyword  = addslashes($_POST['keyword']);

et que je l'intègre dans ma requete SQL :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

LIKE '%$keyword%'

Rien ne m'est retourné...

Les mots sans les " ' " fonctionnent.

Quelqu'un peut-il m'aider?

Merci.

[Mr N.]

et

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

stripslashes($var1)

pour retournée le résultat sans les /

BUZZZZ! Il y a un problème dans ta configuration.
Tu ne devrais pas avoir à utiliser stripslashes au sortir de la bd. Si c'est le cas alors tu as un soucis avec les magic_quotes.

Si tu peux désactiver magic_quotes_gpc dans ton php.ini alors fais le.
Sinon (et c'est la plus sage des solutions de manière générale) fais en sorte que ton code ne soit pas dépendant de la configuration du serveur.
Ainsi :
- tu testes si magic quotes est activé grâce à get_magic_quotes_gpc()
- si oui tu annule l'effet magic_quotes grâce à stripslashes() (attention aux requetes qui contiennent des tableaux, l'annulation est alors à faire récursivement)
- quand tu insères une donnée tu utilises mysql_real_escape_string()
- quand tu cherches une données, tu utilises mysql_real_escape_string()
- quand tu récupères une données, tu n'as rien à faire.

[Sayrus]

Je vais tester ça,

un grand merci

Ha oui magic quote OFF

j'utilisais donc addslashes et stripslashes pour insérer et récupérer.

Donc pour récupérer je ne fais rien, et pour enregistrer dans la bd j'utilise mysql_real_escape_string()

et ceci évitera d'office les injections sql c'est bien çà?

[Mr N.]

oui. Les données contenues dans la base doivent dans la plupart des situations être "naturelles" (aka comme-l'utilisateur-a-tapé)
addslashes/mysql_real_escape_string s'occupe seulement de construire une bonne requete, pas de modifier les données. A partir du moment ou on doit annuler l'effet de addslashes/mysql_real_escape_string en sortie, c'est qu'on a fait deux fois le boulot : une fois par manuellement et une fois automatiquement par magic_quotes

A savoir que magic_quotes_gpc sera a priori désactivé (supprimé?) par défaut dans php6

[Sayrus]

Ok merci pour ces quelques précisions

Bonne journée.