utilisation mysql_real_escape_string + magic_quotes

Bonjour, j'aurais une question sur l'utilisation de cette fonction ou du moins besoin d'une confirmation.

Dans la documentation, il est dit qu'il faut utiliser la fonction "stripslashes" avant si magic_quotes est activé.

Un ami, lui trouvait logique de faire stripslashes(mysql_real_escape_string(...))

La donnée reçue possède déjà les anti-slashs si on a les magic_quotes ?

php.net propose un bout de code qui résume assez bien le problème :

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13

//si les magic quotes sont actives, utilisation de stripslashes if (get_magic_quotes_gpc()) { $lastname = stripslashes($_POST['lastname']); } else { $lastname = $_POST['lastname']; }   // Si vous utilisez MySQL $lastname = mysql_real_escape_string($lastname);   $sql = "INSERT INTO lastnames (lastname) VALUES ('$lastname')";

---

L'idée étant que les magic quotes ajoutent des slashes aux données POST et compagnie, la logique par rapport ce qu'utilisait ton ami ce serait plutot mysql_real_escape_string(stripslashes(...));.

Le mieux reste quand même de désactiver les magic quotes :roll:

Il est préférable de tester l'activation des magic_quotes avant de faire un stripslashes().
Car cette dernière enlève un slash où qu'il se trouve. ;)

Ainsi deux chaînes, l'une passant sur un serveur avec magic_quotes et l'autre sans :

Citation:

---

une chaîne avec un \ pour l'éclater
Une chaîne avec un \ pour l\'éclater

---

Ok merci. Oui c'est exactement ce que je fais. Merci pour la confirmation.