Discussion :

[basket]

Bonjour,

Je vois partout qu'il faut utiliser la fonction mysql_real_escape_string pour insérer des données dans une base MySQL.

J'ai un problème de compréhension de cette fonction car je ne suis pas certain de sa fonction, mais surtout d'implémentation car j'ai un message d'erreur où que je la positionne dans mon code.

Mon code est structuré ainsi. C'est basé sur un ou deux tuto de ce site.

classe Model_Template :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
 
abstract class Model_Template
{
	protected $selectAll;
	protected $selectById;
 
	public function __construct()
	{
	}
 
	public function getAll()
	{
		$this->selectAll->execute();
		return $this->selectAll->fetchAll();
	}
 
	public function getById($id)
	{
		$this->selectById->execute(array($id));
		return $this->selectById->fetchAll();
	}
 
	public function delete($id)
	{
		$this->deleteOne->execute(array($id));
	}
 
}

classe Model_Toto :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
 
class Model_Toto extends Model_Template
{
 
	public function __construct()
	{
		parent::__construct();
 
		$sql =  'INSERT INTO toto (
				champ1)
			VALUES (
				?)
		';
		$this->insertOne = Controller_Template::$db->prepare($sql);
 
	public function insert(
		$champ1)
	{
		$this->insertOne->execute(array(
			($champ1)
		));
	}

Pour insérer des données, j'appelle la fonction insert().

J'ai toujours une erreur lorsque je veux positionner mysql_real_escape_string quelque part, que ce soit dans la classe qui appelle insert(), ou dans la fonction insert().

Globalement, l'erreur est que je n'ai pas de droit d'accès à la base !

A votre avis, comment faire, si l'utilisation est encore utile dans ma config ?

Merci

[sabotage]

mysql_real_escape_string() fonctionne avec l'extension mysql de PHP.
En PDO, on utilise les requetes préparées.

[basket]

euh....

Si je comprends bien, je ne dois/peux pas utiliser cette fonction.

Mais alors, dois-je faire quelque chose et quoi ? et où dans mon code ?
Mais peut-être que PDO le fait tout seul... vrai ou faux ?

Me voilà de plus en plus perdu.

Merci pour vos lumières car la lecture des différents posts à ce sujet m'a plutôt embrouillé.

[sabotage]

Mais alors, dois-je faire quelque chose et quoi ?

En PDO, on utilise les requetes préparées.

C'est ce que tu fais avec ton prepare() et ton execute() : la requete n'est pas construite en concatenant les données comme ca se fait avec l'extension mysql.

[RideKick]

En fait mysql_real_escape_string() fait une connexion a la base de données pour vérifier le charset utilisé.
Il prends la dernière connexion utilisée ou si il n'y en a pas le user par défaut : root, d'où le mesage d'erreur que tu as bien fait de nous montrer au passage