Discussion :

[puybaret]

Bonjour à tous,

J'utilise la fonction mysql_real_escape_string pour échapper correctement les caractères ' et " d'une requête MySQL de mise à jour.
Mais je suis très étonné que MySQL enregistre du coup les chaînes avec les back slashes d'échappement générés par mysql_real_escape_string !!!
Est-ce normal ?

Pour l'instant, j'utilise stripslashes pour traiter les chaînes renvoyées par un SELECT, mais ceci me semble bizarre. Est-ce que je suis passé à côté de quelque chose ?

Merci pour votre aide

[asdf007]

Il faut désactiver les magic_quotes sur ton serveur.

Un peu de lecture :
http://us.php.net/fr/magic_quotes

[puybaret]

Merci pour l'info.

J'ai ajouté une ligne:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

php_flag magic_quotes_runtime Off

dans la partie:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<IfModule php5_module>

du fichier httpd.conf de mon serveur mais ça n'a pas eu l'effet escompté (les quote sont encore insérés en base).

Est-ce qu'il faut du coup systématiquement faire appel à des commandes préparées?

[ThomasR]

Bonjour,

j'ai l'habitude de faire ceci pour empêcher ce problème :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
 
public function cleanValues(){
     if(get_magic_quotes_gpc()){
          $static_arr = array('request','stripRecurse'); 
          $_POST = array_map($static_arr, $_POST);       
          $_GET = array_map($static_arr, $_GET);        	 
	  $_COOKIE = array_map($static_arr, $_COOKIE);        	 
          $_REQUEST = array_map($static_arr, $_REQUEST);
     }
}
 
    public static function stripRecurse($value){
         $value = is_array($value) ? array_map(array('request','stripRecurse'), $value) : stripslashes($value);         
         return $value;
    }

Ensuite avant chaque insertion ou mise à jour de chaines en base de données, j'applique juste mysql_real_escape_string (enfin, la fonction d'échappement liée à la connexion courante).

[asdf007]

Merci pour l'info.

J'ai ajouté une ligne:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

php_flag magic_quotes_runtime Off

dans la partie:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<IfModule php5_module>

du fichier httpd.conf de mon serveur mais ça n'a pas eu l'effet escompté (les quote sont encore insérés en base).

Est-ce qu'il faut du coup systématiquement faire appel à des commandes préparées?

En changeant magic_quotes_gpc, magic_quotes_runtime et magic_quotes_sybase de On à Off dans le php.ini (comme dans l'exemple 1 de http://us.php.net/manual/fr/security....disabling.php), ça devrait être nettement mieux.

(Note qu'il faut redémarrer Apache pour que les modifs soient prises en compte.)