Discussion :

[keaton7]

Bonjour,

Est-il possibl que php5 insere tout seul des \ avant les quotes et double quotes.

J'ai ai un formulaire dont lorsque j'envoi les infos $%^&%^@", je me retrouve avec $%^&%^@\"

... Un peu perturbant car comme j'encode mes caracteres speciaux avec htmlentities($toto,ENT_QUOTES), ca met le bazar ...

Une idee ?

[sabotage]

Les magic_quotes doivent etre activés sur ton serveur.

[ska_root]

Bonjour,

regardez la valeur de magic_quote_gpc dans le php.ini de votre PHP5. vous pouvez aussi le vérifier avec la fonction get_magic_quote_gpc().

dans tous les cas, il vaut mieux les laisser activer (elle et ses petites soeurs magic_quote_runtime et magic_quote_sybase) pour diverses raisons de sécurité. Je vous invite à faire quelques recherches sur le site developpez.com et sur la toile concernant la sécurité sur un site web.

la solution est donc d'utiliser stripslashes() avant d'insérer vos données dans le SGBD.

[keaton7]

Ok, merci pour vos réponses, je vais donc passer par un stripslashes. C'est vrai que moins je fais subir de traitements a ma chaine , plus je suis content mais bon ...

Comme je n'aurai pas la main sur mon serveur mutualise pour en changer la config, le stripslashes semble être le moins couteux en temps et en énergie.

Je met les docs que tu me conseilles en favoris

Mercu encore

[sabotage]

Je ne suis pas de l'avis de ska_root, je conseille plutot de les desactiver puisqu'elles disparaissent en PHP6.

[keaton7]

Arf, je ne suis malheureusement pas encore assez expert en sécurité pour en juger par moi-même. Ce que je sais c'est que je préfère malgré tout épargner a mes chaines des traitements inutiles, mon appli objet étant déjà plutôt lourde.

Comme je le disait précédemment, j'encode les quotes et double quotes avec leurs équivalents html, puisque j'affiche du html (ça coule source).

On peut les désactiver facilement les magic_quotes via un htaccess :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

php_flag magic_quotes_gpc Off

Et c'est encore moins couteux en temps et énergie qu'un stripslashes propage sur tous mes formulaires, et ca me permet de garder le contrôle des traitements !

En y réfléchissant, je ne vois pas bien quelle genre de faille ça peu créer si mes caractères spéciaux sont encodées a ma sauce derrière. C'est pas plutôt une fonction pour les manchots ?

Je suis toujours ouvert a vos réactions.

[sabotage]

C'est pas plutôt une fonction pour les manchots ?

c'est un peu l'argument de sa suppression : maintenant que les problemes d'injection sont mieux documentés, la fonction gene plus qu'elle n'aide car toutes les chaines n'ont pas besoin d'etre echappées.