Discussion :

[EIN-LESER]

Petite question bête:

Je récupère une valeur tapé par un user dans un formulaire dans ma page cible,
je stocke cette valeur et lui fait subir quelques changements gentre to uppercase etc jusque la pas de soucis.
Ensuite je passe a la sécurité:
htmlspecialchars pour éviter d'éventuels soucis avec un code html tapé par un user.

Sa aussi sa marche bien
et c'est la que sa se gate
quand j'essaye d'utiliser mysql_real_escape_string sa ne se coloris pas bien et je crois que sa n'est pas pris en compte du tout.
Quand je tape NULL par exemple c'est insère dans ma BdD sans problèmes alors que sa devrait m'ajouter des caractères je crois.

Voici un bout de code pour mieux me faire comprendre:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
/*Recuperation des informations du formulaire de la page ajout_entites.*/
$nouveauType=$_POST['nouveauType'];
/*Mise en majuscules de la chaine de caracteres.*/
$nouveauType=strtoupper($nouveauType);
/*Insertion de caracteres d'echapements.*/
$nouveauType=addslashes($nouveauType);
/*Mesure de securité rendant inexecutable d'eventuels codes html saisi par un user*/
$nouveauType=htmlspecialchars($nouveauType);
/*Mesure de securité permetant d'ultiliser sans danger la saisie d'un user dans une requette sql*/
$nouveauType=mysql_escape_string($nouveauType);

J'ai du faire une erreur a la c**

Si quelque-un avait une idée sa serait sympa

PS je suis sous macromedia et les commandes mysql se colorient normalement en bleu et quand j'en arrive a ouvrir la parenthèse après sa me mets normalement ce que la fonction attends comme paramètre hors la rien du tout.

[goodpz]

Je ne pense pas qu'il faille utiliser à la fois addslashes() et mysql_escape_string(). Cette dernière fonction est là justement pour faire le boulot d'addslashes() spécifiquement pour mysql (soit dit en passant, mysql_escape_string ne tient pas compte du jeu de caractères courant pour la connexion en cours contrairement à mysql_real_escape_string).

Si tu fait un echo $nouveauType; juste après ton escape, ça donne quoi ?

Peut être que macromedia ne prend pas en compte la coloration pour ces fonctions. L'important c'est que ça fonctionne coté php

[EIN-LESER]

Le soucis c'est que sa fonctionne pas cote php

Il existerais pas une fonction qui me mettrais a la bris a la fois des malveillance en html et sql??

Je sais j'en demande beaucoup lol

[goodpz]

Il existerais pas une fonction qui me mettrais a la bris a la fois des malveillance en html et sql??

Si, un peu ce que tu as fait...
Mets des echo ligne après lignes et regarde où ça déconne.. et surtout au moment où tu fais le query à la db en admettant que juste avant ça, $nouveauType est toujours correcte