Discussion :

[pop_up]

Bonjour,

Je suis actuellement en train de réaliser un formulaire.
Pour sécuriser l'enregistrement de celui-ci, j'utilise la fonction mysql_real_escape_string().

Celle-ci me cause le souci suivant, elle m'enregistre en base la chaine avec les caractères d'échappement.

Ainsi, la chaine "toto'tata" est sauvegardé de la manière suivante "toto\'tata"

Pourtant, j'ai lu qu'il ne fallait pas utiliser stripslashes pour ré afficher l'enregistrement donc je ne comprend pas trop.

Info supplémentaire : les magic quotes sont désactivés sur mon serveur

Faut-il faire un stripslashes pour ré afficher le résultat ? est ce que je fait quelque chose de travers ?

merci

[morgan47]

Tu n'as pas de addslashe quelque par dans ton script?

tu pourrais nous afficher ton script?

[pop_up]

Malheureusement, je peux pas te copier coller le code intégral car ce n'est pas du php pur car je bosse sur typo3.
Je vais quand même te mettre les parties principales mais abregées (les "..." remplacent des lignes similaires)

Bout de code utilisé pour l'insertion en base :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
// insertion des données
$fields_values = array (
    'tstamp'                    => time(),
    'identite'                  => mysql_real_escape_string($valeurs['identite']),
    ...
    );
$GLOBALS['TYPO3_DB']->exec_INSERTquery('ma_table', $fields_values);

fonction de récupération des valeurs :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
 
// recupere les valeurs des champs
function getValues($idUser) {
 
    $res = $GLOBALS['TYPO3_DB']->exec_SELECTquery(
            '*',
            'ma_table',
            'id_fe_user="'.$idUser.'"'
            );
    $row = $GLOBALS['TYPO3_DB']->sql_fetch_assoc($res);
 
    return $row;
}

affichage des champs (en réalité, des marqueurs sont remplacés dans un template) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
$markerArray['###CIVILITE_VALUE###'] = htmlspecialchars($valeurs['identite']);
...

Du coup, je pensais respecter la philosophie en utilisant mysql_real_escape_string pour l'insertion en base et htmlspecialchars pour l'affichage.

Sinon, tu me confirmes bien qu'avec mysql_real_escape_string, on échappe les caractères comme le simple quote pour l'exécution de la requête mais qu'au final, en base, cet échappement n'apparait pas ?

merci