Discussion :

[Atharendil]

Bonjour,

j'utilise la fonction mysql_escape_string dans mon site pour éviter les injections SQL et sécuriser les données qui viennent de formulaires et qui doivent être rentrées dans la base avec mysql_query.

Quand je teste en local, tout se passe très bien, les caractères spéciaux ne sont pas interprétés dans la requête et les données enregistrées dans la base ne contient pas les \ d'échappement.

Mais quand je passe le site sur Web, en utilisant le serveur MySQL de Free, c'est là que ça se gâte Les données dans la base contiennent les \ qui ont été rajoutés pour échapper les caractères spéciaux. Du coup, quand je récupère et affiche ces données, les \ sont eux aussi affichés...

J'ai essayé en utilisant la fonction mysql_real_escape_string mais j'obtiens le même résultat.

Quelqu'un aurait-il une solution à mon problème ?

Merci

[Atharendil]

Je me réponds à moi-même, j'ai finalement trouvé la solution, si ça peut aider quelqu'un qui rencontre le même problème.

En local, j'utilise EasyPHP qui par défaut désactive les magic_quotes. Sur le serveur de Free, elles sont activées et il faut donc faire un test pour ne pas "échapper les échappements" avec mysql_escape_string, sinon des \ pas très jolis se retrouveront dans la base.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
if(get_magic_quotes_gpc()){
    $name = $_POST['name'];
}else{
    $name = mysql_escape_string($_POST['name']);
}

Avec ça, on vérifie si les magic quotes sont activées et le cas échéant, on échappe avec mysql_escape_string, ce qui permet de ne pas avoir de surprises en passant d'un serveur à un autre.