Discussion :

[gianni7033]

Bonjour à tous,

je viens souvent sur les forum de developpez.net car je vois qu'ici j'ai des excellentes réponses

Je me pose une question concernant l'injection SQL.

Aujourd'hui je fais mes requêtes comme ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$nom = str_replace("'","(s)",$_POST['nom']);
mysql_query("INSERT INTO table(nom) VALUES ('".$nom."')");

De cette façon, je remplace le single quote par (s).

Le soucis est que lors de l'affichage, je ne dois pas oublier de remplacer (s) par le single quote.

Je voudrais savoir si vous avez une meilleur solution (en utilisant toujours le mysql_query) pour sécuriser l'injection sql.
En remplaçant bêtement le single quote par \' est une bonne solution ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$nom = str_replace("'","\'",$_POST['nom']);

merci pour vos réponse

[Petibidon]

mysql_real_escape_string est ton ami.

http://fr.php.net/manual/fr/function...ape-string.php

[gianni7033]

Je pense avoir compris cette fonction.

Donc en résumé si je fais tout simplement :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mysql_query("INSERT INTO table(nom) VALUES ('".mysql_real_escape_string($nom)."')");

Mes requêtes seront sécuriser à 100 % ?

[Oprichnik]

Oui ce sera sécurisé mais un conseil parcours un toutes les fonctions php (juste lire) pour voir ce qu'elles permettent avant de te lancer parce que si tu te prend la tête pour imaginer une fonction qui existe déjà ce serait bête :s

[gianni7033]

ben... je peux toujours regarder, mais bon si cette fonction me sécurise à 100% contre l'injection SQL je fais toutes mes query de la façon que j'ai cité (vu que j'ai l'habitude de me créer un générateur de code source).

Merci beaucoup pour vos réponse