mysql_real_escape_string() et un tableau : problème

Version imprimable

Bonjour,

J'ai un problème avec l'utilisation de mysql_real_escape_string sur un tableau expédié via $_POST[].

C'est simple, j'ai plusieurs checkbox :

Code:

<input type="checkbox" name="supprimer[]" value="'.$R[id].'">

Quand le formulaire est envoyé, à réception, je cherche à le filtrer avant d'utiliser son contenu dans une requête sql (question de sécurité, bien sûr).

Donc je fais ça :
Code:

1 2 3 $_POST['supprimer']= htmlentities(mysql_real_escape_string($_POST['supprimer']));
La requête sql, c'est ça :
Code:

1 2 3 4 5 6 7 8 SELECT id FROM messagerieRecu WHERE id IN (".implode(',', $_POST["supprimer"]).")
Donc la requête fonctionne bien si je supprime le filtre par mysql_real_escape_string, mais si je le laisse j'obtiens les erreurs :
Code:

1 2 3 4 5 6 7 8 Warning: mysql_real_escape_string() expects parameter 1 to be string, array given in /home.2/site/www/messages-recus.php on line 35 Warning: implode(): Bad arguments. in /home.2/site/www/messages-recus.php on line 36 Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home.2/site/www/messages-recus.php on line 39 Warning: mysql_free_result(): supplied argument is not a valid MySQL result resource in /home.2/site/www/messages-recus.php on line 44
Le problème bien sûr c'est que je dois filtrer ma variable $_POST[supprimer] avant de l'utiliser dans la requête.

Alors comment puis-je faire ici svp ?

14/08/2006, 14h08
wamania

Citation:

arning: mysql_real_escape_string() expects parameter 1 to be string, array given in /home.2/site/www/messages-recus.php on line 35

Warning: implode(): Bad arguments. in /home.2/site/www/messages-recus.php on line 36

il te dit que c'est un tableau, donc agit sur chaque élément du tableau. Soit avec une boucle, ou mieux, avec array_map ou array_filter
par exemple

Code:

$tab = array_map('mysql_real_escape_string', $_POST['supprimer']);
14/08/2006, 14h20
JackBeauregard
Oui je mettais dis, qu'il fallait utiliser une boucle.

Que penses-tu de ça, Wamania :
Code:

1 2 3 4 5 6 <?php $supprimer = array(); foreach( $_POST['supprimer'] as $valeur ) { $supprimer[] = htmlspecialchars( mysql_real_escape_string( $valeur ) ); } ?>
Ou alors :
Code:

1 2 3 4 <?php $supprimer = array_map( 'mysql_real_escape_string', $_POST['supprimer'] ); $supprimer = array_map( 'htmlspecialchars', $supprimer ); ?>
Ce qui m'étonne ici, c'est que $supprimer puisse contenir tout un tableau sans qu'il n'y ai de précisé les signes [].
Et d'ailleurs, ces deux possibilités sont-elles bonnes ? (sachant que le contenu de $_POST['supprimer'] est une suite d'entier numérique.
14/08/2006, 14h28
wamania
Les deux sont bons.

Array_map renvoie déjà un tableau, c'est pour ça qu'on n'a pas besoin des []

si tu fait pleins de fonctions sur tes entrées, préfére la boucle, sinon, le array_map est plus propre je trouve.

A savoir, le array_map peut prendre des fonctions définis soit même
Code:

1 2 3 4 5 6 7 function filtre($str) { return htmlspecialchars(mysql_real_escape_string($str)); } $tab = array_map('filtre', $_POST['supprimer']);

Et ça alors :
Code:

1 2 3 4 <?php $supprimer = array_map( 'intval', $_POST['supprimer'] ); $sql = 'SELECT id FROM messagerieRecu WHERE id IN (' . implode( ', ', $supprimer) . ')'; ?>
D'après ce que j'ai pu lire, ce serait encore mieux et intraficable. Mais pourquoi ?

14/08/2006, 16h25
wamania

Si tu sais que tu n'attend que des nombres entier, alors oui, c'est encore mieux.
le htmlspecialchars permet de se protéger contre les XSS (Cross site scripting) en encodant les < et > (entre autres) éventuellement présents.
Si tu fais en sorte que seul les nombres peuvent passé, alors plus de soucis de <, de > de quote ', etc...

Mais plutot que d'appliquer intval, qui risque de te retourner des false que tu insérerait dans ta bdd, je crois qu'il vaut mieux ici faire une boucle pour vérifier si chaque élément du tableau est bien un int, sinon, tu stoppes ou tu enlèves l'élément.
14/08/2006, 16h32
JackBeauregard
Mouaif, ça m'embrouille pas mal tout ça.

Je préfèrerai tester la valeur de $_POST['supprimer'] et effectuer ou non la requête vue ci-dessus.

Donc je viens de faire ça :
Code:

1 2 3 4 if(isset($_POST['supprime']) AND preg_match('/^[0-9]+$/', $_POST['supprimer'])) { requête de suppression ;}
Mais ça me retourne :
Code:

1 2 3 4 Warning: preg_match() expects parameter 2 to be string, array given in /home.2/site/www/messages-recus.php on line 32
Forcément, puisque c'est un tableau. Donc comment puis-je faire dans ce cas ?
14/08/2006, 17h48
wamania
une boucle ^^

Mais ton regexp est inutile, utilise une fonction comme intval ou is_numeric (que je préfère).

Ce que je disais, ce n'était pas de pas utiliser intval, mais plutôt de ne pas utiliser une valeur pour laquelle intval te renverrais false.

exemple : ton $_POST est
$_POST['supprimer'][0] = 5;
$_POST['supprimer'][1] = 'attack';
$_POST['supprimer'][2] = 6;

alors intval($_POST['supprimer'][1]) renverrais false.
mais $_POST['supprimer'][1] existera toujours puisque tu ne l'a pas effacé.
Il n'est pas bon, il faut le virais.
Je ferais
Code:

1 2 3 4 5 6 7 foreach ($_POST['supprimer'] as $supp) { if( is_numeric($supp)) { $tabSupprimer[] = $supp; } }
J'ai fait l'exemple avec intval, mais prend plutôt is_numeric, vu que tes nombres seront en fait des strings.