IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

PHP & Base de données Discussion :

ezsql et mysql_real_escape_string


Sujet :

PHP & Base de données

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre éclairé Avatar de php_de_travers
    Inscrit en
    Juin 2004
    Messages
    460
    Détails du profil
    Informations forums :
    Inscription : Juin 2004
    Messages : 460
    Par défaut ezsql et mysql_real_escape_string
    Bonjour,

    j'ai trouvé la classe ezsql pas trop mal.
    Par contre les requêtes se font sans utiliser "mysql_real_escape_string".

    - Est-il possible de faire évoluer la classe pour améliorer ce qui me semble une faiblesse ?
    - Existe-t-il d'autres classes capables de faire pareil voire mieux et avec plus de sûreté.

    PS : mon hébergeur ne met pas PEAR à disposition.

  2. #2
    Membre éclairé Avatar de php_de_travers
    Inscrit en
    Juin 2004
    Messages
    460
    Détails du profil
    Informations forums :
    Inscription : Juin 2004
    Messages : 460
    Par défaut
    J'ai trouvé toute une démarche d'amélioration de la classe sur :
    http://www.jvmultimedia.com/portal/node/156

  3. #3
    Membre éclairé Avatar de php_de_travers
    Inscrit en
    Juin 2004
    Messages
    460
    Détails du profil
    Informations forums :
    Inscription : Juin 2004
    Messages : 460
    Par défaut
    La procédure très compliquée d'activation de la fonction mysql_real_escape_string trouvée à l'adresse déjà mentionnée ne fonctionne pas.
    Ou bien je ne sais pas la faire fonctionner.
    En tout cas, rien n'est échappé dans une procédure UPDATE : ça craint !

    Avez-vous des solutions pour améliorer la sécurité de la classe EZsql qui par ailleurs est pas mal du tout ?

  4. #4
    Rédacteur
    Avatar de RideKick
    Homme Profil pro
    Directeur technique
    Inscrit en
    Septembre 2006
    Messages
    5 914
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Directeur technique
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Septembre 2006
    Messages : 5 914
    Par défaut
    Je viens de télécharger la fameuse classe , apres 5 secondes de lecture de la classe j'ai aperçu ceci :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    	// ====================================================================
    		//	Format a string correctly for safe insert under all PHP conditions
     
    		function escape($str)
    		{
    			return mysql_escape_string(stripslashes($str));				
    		}
    Donc il faut que tu applique escape() sur ta requette avant de l'envoyer au serveur mysql ....
    Pas de questions techniques en MP please

    Mon site perso

    Mon profil Viadeo

  5. #5
    Membre éclairé Avatar de php_de_travers
    Inscrit en
    Juin 2004
    Messages
    460
    Détails du profil
    Informations forums :
    Inscription : Juin 2004
    Messages : 460
    Par défaut
    Bonsoir,

    la nouvelle version intègre bien une fonction d'échappement.

    Je supprime tous les délires de tests réalisés et je te remercie car la version 2.04 a une doc qui décrit l'usage de cette fonction.

  6. #6
    Membre éclairé Avatar de php_de_travers
    Inscrit en
    Juin 2004
    Messages
    460
    Détails du profil
    Informations forums :
    Inscription : Juin 2004
    Messages : 460
    Par défaut
    Pour RideKick,

    par acquis de conscience, j'ai lancé la fonction debug() de ezsql.

    Je découvre que les signes ' et " sont bien échappés lors de l'utilisation de la fonction query().

    En revanche, lorsque je regarde le contenu de la bdd dans mysql, je vois que les mots à échapper ne le sont pas.
    Est-ce normal ?

    mysql-escape_string est-il suffisant en terme de sécurisation ?

    Historique
    Version Description
    4.3.0 Cette fonction devient dépréciée, ne l'utilisez pas. À la place, utilisez la fonction mysql_real_escape_string().

Discussions similaires

  1. mysql_real_escape_string() et un tableau : problème
    Par JackBeauregard dans le forum SQL Procédural
    Réponses: 7
    Dernier message: 14/08/2006, 17h48
  2. Échappement de valeurs avec mysql_real_escape_string
    Par alex75 dans le forum Requêtes
    Réponses: 30
    Dernier message: 17/04/2006, 20h20
  3. pb mysql_real_escape_string()
    Par Trunks dans le forum SQL Procédural
    Réponses: 7
    Dernier message: 10/02/2006, 21h01
  4. [SGBD] Utilisation de mysql_real_escape_string()
    Par Space Cowboy dans le forum Requêtes
    Réponses: 1
    Dernier message: 27/11/2005, 10h24
  5. [MySQL] [SGBD] [mssql] Equivalent mysql_real_escape_string pour mssql
    Par PoZZyX dans le forum PHP & Base de données
    Réponses: 3
    Dernier message: 03/10/2005, 11h37

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo