Discussion :

[php_de_travers]

Bonjour,

j'ai trouvé la classe ezsql pas trop mal.
Par contre les requêtes se font sans utiliser "mysql_real_escape_string".

- Est-il possible de faire évoluer la classe pour améliorer ce qui me semble une faiblesse ?
- Existe-t-il d'autres classes capables de faire pareil voire mieux et avec plus de sûreté.

PS : mon hébergeur ne met pas PEAR à disposition.

[php_de_travers]

J'ai trouvé toute une démarche d'amélioration de la classe sur :
http://www.jvmultimedia.com/portal/node/156

[php_de_travers]

La procédure très compliquée d'activation de la fonction mysql_real_escape_string trouvée à l'adresse déjà mentionnée ne fonctionne pas.
Ou bien je ne sais pas la faire fonctionner.
En tout cas, rien n'est échappé dans une procédure UPDATE : ça craint !

Avez-vous des solutions pour améliorer la sécurité de la classe EZsql qui par ailleurs est pas mal du tout ?

[RideKick]

Je viens de télécharger la fameuse classe , apres 5 secondes de lecture de la classe j'ai aperçu ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
	// ====================================================================
		//	Format a string correctly for safe insert under all PHP conditions
 
		function escape($str)
		{
			return mysql_escape_string(stripslashes($str));				
		}

Donc il faut que tu applique escape() sur ta requette avant de l'envoyer au serveur mysql ....

[php_de_travers]

Bonsoir,

la nouvelle version intègre bien une fonction d'échappement.

Je supprime tous les délires de tests réalisés et je te remercie car la version 2.04 a une doc qui décrit l'usage de cette fonction.

[php_de_travers]

Pour RideKick,

par acquis de conscience, j'ai lancé la fonction debug() de ezsql.

Je découvre que les signes ' et " sont bien échappés lors de l'utilisation de la fonction query().

En revanche, lorsque je regarde le contenu de la bdd dans mysql, je vois que les mots à échapper ne le sont pas.
Est-ce normal ?

mysql-escape_string est-il suffisant en terme de sécurisation ?

Historique
Version Description
4.3.0 Cette fonction devient dépréciée, ne l'utilisez pas. À la place, utilisez la fonction mysql_real_escape_string().