Échappement de valeurs avec mysql_real_escape_string

Version imprimable

Voir 40 message(s) de cette discussion en une page

Nickel :)

Pour récapituler si ca peut servir à qq'un, j'ai utiliser les choses suivantes:

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
 
function quoteSmart($value)
{
   // Stripslashes
   if (get_magic_quotes_gpc()) {
     $value = stripslashes($value);
   }
   // Protection si ce n'est pas un entier
   if (!is_numeric($value)) {
     $value = "'" . mysql_real_escape_string($value) . "'";
   }
   return $value;
}
 
...
 
//Construction de la requête 
$query = sprintf("SELECT *  FROM `carte` WHERE `mail` = %s;", quoteSmart($email));
$res = mysql_query($query);
 
...
 
//Construction du formulaire
<input type="text" name="nom" value="<?=$nom ?>" size="40" maxlength="30" />

+ un fichier .htaccess à la racine du site

Code:

1
2
 
php_flag magic_quotes_gpc off

13/04/2006, 10h12
Mr N.

Ca ne sera pas tout à fait résolu ton affaire. Car si dans le champ tu rentres la chaine suivante :

Code:

une "chaine"

Je pense que tu auras quelques surprises...
14/04/2006, 00h03
alex75

Citation:

Envoyé par Mr N.

Ca ne sera pas tout à fait résolu ton affaire. Car si dans le champ tu rentres la chaine suivante :

Code:

une "chaine"

Je pense que tu auras quelques surprises...

j'ai rentré "chaine", il ne l'accepte pas, il me demande tout simplement de saisir à nouveau mon champ...

Sinon, comment prendre en compte les " " ?
14/04/2006, 09h13
Mr N.

Essai de rentrer ceci :

Code:

AVANT "chaine" APRES

Qu'est-ce qui se passe ?
15/04/2006, 13h34
alex75

Citation:

Envoyé par Mr N.

Essai de rentrer ceci :

Code:

AVANT "chaine" APRES

Qu'est-ce qui se passe ?

Le formulaire est validé et je rentre dans ma bdd <AVANT "CHAINE" APRES>

Problème ou c'est bon?
15/04/2006, 14h08
Mr N.

Impeccable, mais comment tu réaffiches dans un input pour éditer la valeur par exemple ?
15/04/2006, 14h09
alex75

Citation:

Envoyé par Mr N.

Impeccable, mais comment tu réaffiches dans un input pour éditer la valeur par exemple ?

Je perds une partie de la chaine...il n'affiche que <AVANT >
15/04/2006, 14h29
Mr N.

htmlentities($chaine, ENT_QUOTES) (au niveau de l'affichage dans le champ) sera ton amie ;)
15/04/2006, 14h30
alex75

Citation:

Envoyé par Mr N.

htmlentities($chaine, ENT_QUOTES) sera ton amie ;)

hihihi :)
merci mais je dois faire htmlentities à chaque <.. value="htmlentities($value, ENT_QUOTES)"> ?
15/04/2006, 14h40
Mr N.

oui
A chaque fois que tu veux mettre une chaine dans un attribut d'un element html tu dois faire ça.
17/04/2006, 20h20
stephane eyskens

Citation:

Envoyé par siddh

+1

si tu ne peux pas le faire car sur un serveur mutualisé, sert toi de ini_set ou des directives apaches dans un htaccess

ini_set ne servira pas à grand chose car les données sont déjà reçues au moment où ini_set sera exécuté. :P

De plus, en ce qui me concerne, je conseille fortement l'utilisation de magic_quotes_gpc, ça permet d'éviter certaines infiltrations qui pourraient passer à cause de scripts pas assez rigoureux. :)

Voir 40 message(s) de cette discussion en une page