Discussion :

[madstrix]

Je suis entrain de sécuriser mon code php et je me demandais si cette syntaxe était juste :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mysql_query("UPDATE matable SET gains=gains+'".mysql_real_escape_string($var)."' where id='".mysql_real_escape_string($id)."' AND idmembre='$idmbr'");

Merci

[Seb33300]

mysql_real_escape_string() est une fonction qui sert à sécuriser les chaines de caractères dans les requêtes MySQL.

Dans ton cas gains=gains+'".mysql_real_escape_string($var)."'

je suppose que le champ gains est un numérique et pas une chaine de caractère.
mysql_real_escape_string n'a donc pas lieu d'être utilisé ici.

Par contre il faut :
- soit vérifier avant d'exécuter ta requête que $var est bien une valeur numérique avec is_int() ou is_float() etc..
- soit ne pas vérifier et protéger ton champ par un intval() ou floatval() suivant le type de champ à la place de mysql_real_escape_string()

[madstrix]

ok merci et htmlentities() sert a quoi ?
et si il ya des nombres et caracteres speciaux ? je met quoi ?

[Seb33300]

c'est pour transformer les caractères spéciaux par leur code html.

Par exemple € deviendra €

ça sert uniquement à l'affichage sur ton site.
Si par exemple tu proposes aux membres de ton site d'écrire leur présentation sur leur profil, rien ne les empêche d'écrire quelque chose comme :

<script type="text/javascript">
...
</script>

Si tu affiches ça tel quel sans utiliser htmlentities, alors ce sera considérer comme du code html et le code javascipt s'exécutera.

Si tu utilise htmlentities alors les caractères spéciaux comme < ou > seront convertis et donc ne sera pas considéré comme du code html.

[madstrix]

d'accord et si je veut insérer dans ma bdd des nombres et des caractere speciaux j'utilises quand meme inval ?

[Seb33300]

intval() pour les champs qui ne doivent contenir que des nombres entier
floatval() pour les champs qui ne doivent contenir que des nombres à virgule
mysql_real_escape_string() pour les champs text / varchar