Discussion :

[iomega]

Bonjour à tous et merci d'avance pour votre aide.

Je voudrai savoir si faut-il toujours utiliser la fonction (mysql_real_escape_string) pour chaque requête sql que l'on fait que ce soit une requete select ou bien update ? je sais pas quand l'utiliser..

et ma deuxième question faut-il utiliser htmlspecialchars pour insérer un contenu dans une BD ?
Je suis un perdu merci de vos conseils

[Celira]

mysql_real_escape_string sert à protéger tes requêtes des injections sql. Il faut l'utiliser sur les données envoyées à ta base par l'utilisateur, par exemple venant d'un champ de formulaire.
htmlspecialchars transforme les caractères spéciaux (< > ' " &) de façon à ce qu'un contenu html soit affiché tel quel et non interprétré comme du contenu html.
Par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

echo htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);

affichera

<a href='test'>Test</a>

comme un texte au lieu d'en faire un lien cliquable.
Elle sert davantage à l'affichage qu'à un stockage en base de données.
Pour bien faire, il faut appliquer mysql_real_escape_string à l'insertion en base et htmlspecialchars à la sortie

[iomega]

Merci pour ta réponse donc si je résumé c'est faut ce que j'ai fait ? je devrais remplacer tous mes htmlspecialchars par mysql_real_escape_string c'est ça ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
$sql .= "UPDATE Contenu SET vignette = '$img1'";	
		$sql .= ",Titre = '" . htmlspecialchars($frm['Titre'], ENT_QUOTES) . "'";
		$sql .= ",Desc = '" . htmlspecialchars($frm['Desc'], ENT_QUOTES) . "'";
		$sql .= ",Contenu_aff_periodique = '" . $frm['Contenu_aff_periodique'] . "'
			,Contenu_actif = '" . $frm['actif'] . "'
			,Contenu_date_create = now()
			,Contenu_public = '" . $frm['public'] . "'			
			,Contenu_type_id = '" . vn($frm['Contenu_type_id']) . "'
			,Contenu_mot_cle = '" . htmlspecialchars($frm['mot_cle'], ENT_QUOTES) . "'";			
		$sql .= " WHERE id = " . intval($id) . "";

mysql_real_escape_string sert à protéger tes requêtes des injections sql. Il faut l'utiliser sur les données envoyées à ta base par l'utilisateur, par exemple venant d'un champ de formulaire.
htmlspecialchars transforme les caractères spéciaux (< > ' " &) de façon à ce qu'un contenu html soit affiché tel quel et non interprétré comme du contenu html.
Par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

echo htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);

affichera

comme un texte au lieu d'en faire un lien cliquable.
Elle sert davantage à l'affichage qu'à un stockage en base de données.
Pour bien faire, il faut appliquer mysql_real_escape_string à l'insertion en base et htmlspecialchars à la sortie

[Thes32]

Oui c'est ça.