Discussion :

[keusty78]

bonjour a tous,ou bonsoir


je suis actuellement entrin d'essayer de protéger mon site contre les injections sql mai le souci c'est qu'a part addslashs,stripslash et mysql_query_string je ne connai rien d'autre donc je pense savoir proteger mes champs dan un formulaire par contre proterger des injection au niveau de la bare url
(http://ma_page?id=xx&&id=xx...) j'en ai aucune idee si quelqu'un pouvai juste me dir comment on fai sa serai cool merci d'avance

[sabotage]

tu n'as besoin ni de addslashes() ni de stripslashes() a moins que ton serveur t'impose les magic_quotes_gpc.

tu dois par contre effectivement utiliser mysql_real_escape_string() sur les données que tu places dans tes requetes, c'est la meme chose que les données viennent d'une url ou d'un formulaire.

[keusty78]

merci sabotage pour ta réponse mais regarde comme pour cette variable que je veux securiser comment je dois faire?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$c=$_GET['c'];

parce que quand je fais :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$c=mysql_real_escape_string($_GET['c']);

j'ai une erreur mais quand je laisse la variable sans mysql_real_escape... ça marche bien mais le souci c'est que des que je met une apostrophe dans la barre url j'ai un message d'erreur sql ce qui signifie protection 0

je ne sais pas si tu comprends ce que je veux dire : en gros mon probleme c'est l'erreur que j'ai quand je met une apostrophe dans l'url

[sabotage]

Et quelle est l'erreur que tu rencontres ?

[keusty78]

voila l'erreur que j'ai des que je met une apostrophe dans l'url :

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''Bienvenue'' AND id_categori1=id_cat1_f GROUP BY titre_cat1,nom_fo' at line 5

comment je pourai eviter sa stp

[sabotage]

Visiblement ton apostrophe n'est pas echappé ici.
Pourrait-on voit le code qui fait ta requete ?