Discussion :

[matoon]

Bonjour, je n'arrive pas à gérer l'injection SQL.
Je cherche même pas à protéger ma requête, mais plutôt à réussir à faire passer des requêtes où il y a une condition d'égalité avec une valeure contenant une apostrophe.

Exemple

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT * FROM personne WHERE nom='D'Henry'

j'ai déjà essayé avec addslash et j'obtiens une erreur ( 'D'Henry'-> 'D\'Henry l'échappement ne marche pas)

Savez vous comment je peux échapper des caractères dans ce type de situation ?

J'utilise Oracle 10g


merci

[matoon]

C'est bon en fait j'ai trouvé, il suffit tout simplement de doubler le simple quote. Pour une requete avec une égalitée sur une variable, il suffit de remplacer $maVariable par str_replace("'","''",$maVariable) qui va doubler tout les simple quote de votre variable, c'est-à-dire les échapper pour ce cas (Oracle)
voilà

[APommePote]

C'est bon en fait j'ai trouvé, il suffit tout simplement de doubler le simple quote. Pour une requete avec une égalitée sur une variable, il suffit de remplacer $maVariable par str_replace("'","''",$maVariable) qui va doubler tout les simple quote de votre variable, c'est-à-dire les échapper pour ce cas (Oracle)
voilà

Salut je te conseil plutôt d'utiliser le oci_bind_by_name : http://fr.php.net/manual/fr/function...nd-by-name.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
//(code fait de tête à vérifier)
$maVariable = "D'henry";
$db_cnx = ...
 
$requete = 'SELECT * FROM personne WHERE nom = :nom';
$statement = oci_parse($TA_CNX, $requete);
oci_bind_by_name($statement, ":nom", $maVariable);
 
oci_execute ..

Cela fonctionne aussi avec toutes les requetes CRUD (Create Retrieve Update Delete)