Discussion :

[noobyyy]

Bonjour voici un bout de code que vous comprendrez très bien sauf qu'il ne marche pas !

Alors moi sur un tuto j'ai cru comprendre que la fonction mysql_real_escape_string nous aidez contre les attaques à injections mais lorsque je met cette fonction en application ça ne marche jamais.

Pouvez-vous m'aider à enfin comprendre.

ne fonctionne pas:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if($result_mdp = mysqli_query($link, 'select me_mdp from membre where me_pse = "'.mysql_real_escape_string($pseudo).'" and me_mdp = "'.mysql_real_escape_string(md5($mdp)).'" '))

fonctionne:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if($result_mdp = mysqli_query($link, 'select me_mdp from membre where me_pse = "'.$pseudo.'" and me_mdp = "'.md5($mdp).'" '))

[grunk]

Parce que tu utilise mysql_real ..; alors que tu utilise mysqli ?

Cela marchera sans doute mieux avec : http://fr.php.net/manual/fr/mysqli.r...ape-string.php

Note : faire un escape après le md5 du mot de passe ne sert à rien L'inverse à la rigueur :p

[noobyyy]

d'accord merci

donc est-ce que ceci fonctionne:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
	$pseudo = mysqli_real_escape_string($link, $pseudo);
	$mdp = mysqli_real_escape_string($link, $mdp);
 
	if($result_login = mysqli_query($link, 'select me_pse from membre where me_pse = "'.$pseudo.'" '))

est-ce que les variables $pseudo et $mdp seront protégés durant les autres requêtes ?