Livre d'or et protection de base de données

**lisa.a** · 13/05/2009, 21h03

Bonjour
je voudrais ajouter un livre d'or sur un site, je vais récupérer le message sous forme d'une chaine de caractere par un formulaire.
Je voudrais faire une fonction "encode_chaine" qui prend une chaine et échappent tous les caracteres dangereux pour sql avant d'enregistrer le message dans la base. Puis une fonction "decode_chaine" qd je voudrais afficher les messages j'irais les chercher dans la base et passerai les chaines à la moulinette de decode_chaine avant de les afficher.

Je pense utiliser ereg_replace pour faire tout ça.

Donc dans la théorie je crois que j'ai bon, dans la pratique je sais pas comment faire

1/ parce que je suis pas sure de savoir lister tous les caractères "dangeureux" pour sql (à part ; je sais pas trop à quoi d'autres il faut faire attention)

2/ surtout parce que je connais pas le caractere d'échappement en sql

il y a surement tonnes de fonctions déjà écrites qui font ça mais je préfère pas en prendre au pif vu que je suis pas tres douée en traitement de chaines de caracteres je préfère vos conseils plutot que de recoller une fonction que je ne comprends qu'à moitier

J'attends votre aide

merci d'avance
++
Lisa

**Séb.** · 13/05/2009, 21h36

il y a surement tonnes de fonctions déjà écrites qui font ça

Exactement.
Avant d'insérer le msg dans la BdD : mysql_real_escape_string( ) (éventuellement un stripslashes( ) auparavant si les magic-quotes sont actives)
Avant d'afficher le msg sur la page : htmlspecialchars( )
C'est tout

http://fr.php.net/mysql-real-escape-string
http://fr.php.net/htmlspecialchars
Magic-quotes : http://fr.php.net/manual/fr/security.magicquotes.php

**sabotage** · 13/05/2009, 21h41

En dehors de la protection de la chaine SQL, n'oublie pas de purger egalement ta chaine de toutes les balises (html et javascript).
Il y a des robots qui passent 24/24 a essayer de placer des saloperies sur le moindre formulaire qu'ils trouvent.

**lisa.a** · 13/05/2009, 21h52

ok cool

ça veut dire quoi les magic quotes ? et comment savoir si elles sont activées ? (je suis hébergée chez ovh, je fais mes tests en local avec easyphp)

Je voudrais aussi qqchose qui me remplace les \n par des <br> tant qu'à faire ...
c'est possible ?
eidt : ça c'est bon j'ai trouvé nl2br

merci beaucoup en tout cas !

oui sabotage j'aimerais bien mais comment il faut faire ?

**Séb.** · 13/05/2009, 22h07

Envoyé par lisa.a

ça veut dire quoi les magic quotes ? et comment savoir si elles sont activées ? (je suis hébergée chez ovh, je fais mes tests en local avec easyphp)

Lire la doc, j'ai donné le lien plus haut

Je voudrais aussi qqchose qui me remplace les \n par des <br> tant qu'à faire ...
c'est possible ?

Oui lors de l'affichage avec nl2br( ) après le htmlspecialchars( ).
http://fr.php.net/nl2br

**lisa.a** · 13/05/2009, 22h11

ah oui zut désolée ... comme c'était en bas de ton message et que c'était des liens mes yeux ont filtré en pensant que c'était ta signature :p

encore merci !
je note ça comme résolu

ceci dit si sabotage veut bien me dire comment faire je reste preneuse