Discussion :

[Invité]

Bonjour,
je suis sur un serveur qui a positionné tout les magic_quote a off

Apparament cela tombe bien, puisque ces trois paramétres disparaissent,
Ma question est justement que tout a off c' est donc a moi de faire,
ou bien au contraire tout est automatique ?

Donc en récupérant un $_POST sur un alpha je dois faire quoi ?

En écrivant dans Mysql je dois faire quoi ?

En relisant une variable de Mysql je dois faire quoi ?

je dois étre mauvais mais même en lisant la bible
http://php.net/manual/fr/security.magicquotes.php

je ne suis pas sur de moi, car en particulier je ne sais pas si j'ais \' ou deux '

Merci a vous

[Seb33300]

Lorsque les magics quotes sont activées (On), php place automatiquement le caractère antislash (\) devant certains caractères dans les variables GET, POST, et COOKIE.

Pour protéger correctement une requête mysql dans laquelle tu veux insérer une variable php qui contient du texte, il faut que les magics quotes soient désactivées et utiliser la fonction mysql_real_escape_string : http://fr2.php.net/manual/fr/functio...ape-string.php

[Invité]

Lorsque les magics quotes sont activées (On), php place automatiquement le caractère antislash (\) devant certains caractères dans les variables GET, POST, et COOKIE.

Pour protéger correctement une requête mysql dans laquelle tu veux insérer une variable php qui contient du texte, il faut que les magics quotes soient désactivées et utiliser la fonction mysql_real_escape_string :

Merci de ta réponse, et justement par rapport a mon lien et ton lien que penses tu de la phrase

Si magic_quotes_runtime est activé, toutes les fonctions qui obtiennent des données auprès d'une source externe,
y compris les bases de données et les fichiers texte, verront leur guillemets échappés avec un antislash.
Si magic_quotes_sybase est aussi activé, les guillemets simples seront échappés avec un autre guillemet simple, plutôt qu'un antislash.

[sabotage]

Ma question est justement que tout a off c' est donc a moi de faire,
ou bien au contraire tout est automatique ?

Oui c'est à toi de tout faire du coup avec des fonctions comme mysql_real_escape_string() pour l'extension mysql ou htmlentities() pour l'affichage dans une page HTML.

[Invité]

Merci Sabotage,
tu verras qu'il me reste une question que je ne sais résoudre (posée plus haut)

En gros
Si magic_quotes_runtime est activé, toutes les fonctions qui obtiennent des données auprès d'une source externe, y compris les bases de données et les fichiers texte, verront leur guillemets échappés avec un antislash.
MAIS
Si magic_quotes_sybase est aussi activé, les guillemets simples seront échappés avec un autre guillemet simple, plutôt qu'un antislash.

Ce qui me parait curieux, c'est que je n'ais pas ces '' mais \' ,alors que les trois magic_quote sont OFF

[Seb33300]

Utilise la fonction phpinfo();

tu trouveras 3 lignes :
magic_quotes_gpc > ce qui permet d'ajouter les \ sur GET, POST, et COOKIE
magic_quotes_runtime > ce qui permet d'ajouter les \ sur sources externes
magic_quotes_sybase > doubler les '