Discussion :

[autofill]

Salut,

Il y a déjà un petit moment, j'avais fait un site web en PHP.
J'hébergeais les pages sur mon serveur. J'avais à l'époque configuré Apache de telle façon que les backslash n'étaient pas ajoutés automatiquements lorsque j'utilisais des variables dans des requêtes SQL (cfr SQL injection).
J'utilisais dès lors la fonction addslashes() un peu partout dans mes pages.

Actuellement, je change de serveur pour héberger mon site, et il se trouve que celui-ci est configuré de telle sorte que les '\' sont ajoutés automatiquements.

J'ai donc retiré tous mes addslashes(), mais il se trouve que j'ai encore des '\' qui sont ajoutés là où je ne veux pas. C'est lorsque j'envoie des e-mails.

Est-ce que vous savez comment retirer ces backslashes? Et d'autre part, est-ce dangereux de les retirer?

Merci d'avance.

[Yoshio]

Alors tu as ça parce que la directe magic_quote_gpc est mise à ON. Ce qui normalement ne devrait pas être le cas.

Pour enlever les slashes tu as stripslashes()

Il faut toujours échapper les caractère spéciaux avant de faire un traitement avec une base de données par exemple. Mais au lieu d'utiliser addslashes il faut utiliser des fonctions prévues à cet effet comme mysql_real_escape_string().

[autofill]

Merci bcp pour l'info et les liens, c'est exactement ce que je voulais savoir.

Par contre, tu as oublié de me dire si c'est dangereux ou pas de retirer les backslashes dans un envoie de mail.
Parce que je vois que la fonction mysql_real_escape_string() echappe le caractère " (double quote), et que par conséquent, si mon code ressemble à ceci :

mail($email, "Titre", "$message et encore un peu de texte", $entetemail);

Une personne malveillante pourrait très bien placer une double quote dans la variable $message, ce qui permettrait d'exécuter une commande système?

Est-ce que je me trompe?

[Yoshio]

Dans ton cas ou s'en fou pas mal des double quotes.

Il faut juste faire attention au injection d'header.

Donc il faut bien finir ton header par 2 CRLF (\r\n\r\n).

[autofill]

Ok, j'ai fait la correction dans mon code et tout est bon.

Encore merci pour l'info, j'indique que le sujet est résolu.