Discussion :

[levraigreg]

Bonjour,

je débute dans la programmation PHP/MySQL, tout se passait bien jusqu'à ce que je tombe sur un problème qui parrait simple mais que je n'arrive pas à résoudre avec les tutoriaux.

J'ai fait un formulaire html et je vérifie que le champ pseudo n'existe pas dans la base de donnée. Pour éviter les attaques d'injection SQL, j'utilise la fonction proposée sur php.net "quote_smart".

Je l'ai bien remarqué en faisant des echo, avec cette fonction des antislashs sont ajoutés lorsque j'écris un ' par exemple. Par contre, l'antislash n'est pas reporté dans ma requête SQL, et j'obtiens une erreur. Mon but est justement de faire la requête avec l'antislash, et surtout de ne pas avoir cette erreur.

Dans le message d'erreur MySQL je vois bien qu'il n'y a plus mon antislash avant l'apostrophe dans ma requête

Comment faire pour qu'il reste et donc que ma requête devienne valide ?

[vg33]

La seule façon d'éviter une injection sql est de passer tes variables par mysql_real_escape_string(). Toute autre fonction est insuffisante.

[levraigreg]

Oui c'est ce que je fais, voici la fonction utilisée :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
function quote_smart($value)
{
   // Stripslashes
   if (get_magic_quotes_gpc()) {
     $value = stripslashes($value);
   }
   // Protection si ce n'est pas un entier
   if (!is_numeric($value)) {
     $value = "'" . mysql_real_escape_string($value) . "'";
   }
   return $value;
}

[Mr N.]

C'est normal que le slash disparaisse une fois tes données dans la base.

Sinon

j'obtiens une erreur.

Quel erreur ? où ? quand ? comment ? pourquoi ? avec qui ? ...

[levraigreg]

Voici mon code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
$pseudo=(quote_smart($pseudo));
 
$sql=mysql_query("SELECT * FROM membres WHERE pseudo like $pseudo");

J'obtiens l'erreur suivante lorsque $pseudo = l'horreur :

Erreur SQL !INSERT INTO membres(id, pseudo, pass, email, ne_le) Values('', 'l'horreur', '1234', 'lalala@lalala.com', '1916-06-01', '', '', '', '', '', '2006-02-08')
Erreur de syntaxe près de 'horreur', '1234', 'lalala@lalala.com', '1916-06-01', '', '', '',' à la ligne 1

On voit bien qu'il n'y a plus mon antislash avant l'apostrophe de l'horreur.

Comment faire pour qu'il reste et donc que ma requête devienne valide ?

[XtofRoland]

tu dois obtenir ca:
INSERT INTO membres(id, pseudo, pass, email, ne_le) Values('', 'l''horreur', '1234', 'lalala@lalala.com', '1916-06-01', '', '', '', '', '', '2006-02-08')
un quote protège l'autre
tu fait comme tu veux mais il faut doubler les ' des values
pos; substring, erege_replace... magical_quote....

[Mr N.]

Tu dois pas etre bien reveillé ce matin... Le code que tu nous montre est un SELECT alors que l'erreur se produit sur un INSERT

[levraigreg]

Je crois que j'ai compris mon erreur Je vais tester ce soir.

Merci à tous

[chaced]

Si tu ne met pas de html dans mysql (par exemple pour ensuite afficher du code html) tu peux simplement remplacer les apostrophes par l'equivalent ascii HTML.

Fonction qui convertit ', ", < et > en ascii html
htmlentities($str, ENT_QUOTES);

ensuite la fonction qui faits l'inverse :
html_entity_decode($str, ENT_QUOTES);

PS : attention a l'utf8.

[levraigreg]

J'ai lu à plusieurs reprises qu'il est meilleur d'utiliser mysql_real_escape_string pour des questions de sécurité... Et je place du code html dans ma base, justement !

Sinon mon erreur n'était pas au niveau de l'échappement des caractère, qui se faisait correctement, mais au niveau de mon cerveau. Je n'avais pas compris que le message d'erreur MySQL concernait une autre requête SQL que je n'ai pas citée et qui n'a rien à voir

Je me doutais bien que c'étais un truc tout bête, mais quand on a pas l'habitude on peut y gaspiller des heures