addslashes et explode

Version imprimable

bonjour,

j'ai un moteur de recherche où l'utilisateur peut entrer des mots via un formulaire de type POST.
J'ai défini ainsi les variables

Code:

$_SESSION['motsclef'] = addslashes($_POST['motsclef']) ;

j'ai ensuite un bout de code pour compter le nombre de mots et les chercher tous
Code:

1 2 3 4 5 6 $motsclef = $_SESSION['motsclef']; // On explose les mots clefs // en tronquant à chaque espace $motsclef1 = explode(" ",$motsclef); // On compte le nombre de mots entrés par le visiteur $nbr_mots = count($motsclef1);
ma requête est ensuite de la forme

Code:

$sql .= "AND (s_nom LIKE '%$motsclef1[0]%' OR specifique LIKE '%$motsclef1[0]%' );"

le problème, c'est que quand je cherche une expression avec un ' (par exemple l'éléphant) j'ai 3 addslashes et non un seul dans ma requête :

Code:

AND (s_nom LIKE '%l\\\'éléphant%' OR specifique LIKE '%l\\\'éléphant%' );

j'ai essayé addslashes, mysql_real_escape_string et j'ai le même effet.

Autre question.

si certaines variables sont définies grâce à un select, faut-il mettre quand même addslashes ou mysql_real_escape_string avant de les intégrer en BDD ?

Merci pour vos conseils

06/10/2006, 12h20
Joe Le Mort

il suffit de faire un stripslashes
06/10/2006, 12h22
Dia_FR

variable en session = addslashes de variable post

motscles = addslashes de variable en session

=> normal

ou tu fais un seul addslashes, ou t'utilises strislahes

si tu récupères des données d'une BdD, peut-ou les réutiliser telles quelles pour écrire une requête ? c'est ça la question ?
si oui, je dirai oui

edit : encore grillé par Joe le Mort ;)
06/10/2006, 12h26
carelha

merci, j'ai effectivement fait

Code:

$motsclef = stripslashes($_SESSION['motsclef']);

ca fonctionne, mais c'est vraiment pas clair pour moi, j'ai l'impression que les mettre puis les enlever juste après devrait revenir à ne pas en mettre du tout, ce qui n'est pas le cas.
06/10/2006, 12h28
carelha

vos réponses se croisent, désolée, je vais regarder ca de plus près.

pour mon autre question, non, ce n'est pas ca :
puis je rentrer en BDD les valeurs d'une variable qui a été définie par une sélection dans un select sans faire addslashes, ou faut il mettre quand même addslashes, alors que l'utilisateur n'a pas pu écrire de texte ?
06/10/2006, 12h29
Djakisback

Si tu veux que ton code fonctionne sur toutes les config tu peux tester si les magic quotes sont activés et faire un stripslashes seulement s'ils le sont. Y a un exemple sur la page de mysql_real_escape_string() dans le manuel PHP.
http://www.php.net/manual/fr/functio...ape-string.php

Pour ton autre question il faut protéger toutes les valeurs qui viennent de l'extérieur. L'utilisateur peut créer une page avec un formulaire qui pointe vers ta page et un select qu'il a lui-même créé.
06/10/2006, 12h38
kankrelune

Je dirais plutot tester si les magic quotes sont activées si elles le sont faire un stripslashes puis faire un mysql_real_escape_string... que les magic quotes soient activées ou non... .. .

@ tchaOo°
06/10/2006, 12h42
Djakisback

C'est ce que je voulais dire :)
06/10/2006, 12h46
carelha

oui, j'ai testé, les magic quote sont activées.

donc votre conseil pour toutes les variables à intégrer dans la BDD c'est

$_SESSION['motsclef'] = stripslashes($_POST['motsclef']) ;

puis

$_SESSION['motsclef1'] = mysql_real_escape_string($_SESSION['motsclef']) ;

(est ce que mysql_real_escape_string(stripslashes($_POST['motsclef']) ) est possible ? )

Autre question :oops: j'ai déjà des données dans ma BDD intégrées via PHPmyadmin, qui n'ont pas d'antislashes avant les caractères particuliers....
il existe une solution pour les remettre facilement (= autrement qu'une par une après avoir récupéré le fichier dans excel...)

Merci de votre aide
06/10/2006, 12h52
Djakisback
En fait il faut faire le stripslashes() que si les magic quotes sont activés.
Code:

1 2 3 if(get_magic_quotes_gpc()) { $_SESSION['motsclef'] = stripslashes($_POST['motsclef']) ; }
06/10/2006, 13h08
carelha

merci, je vais chercher pour ma dernière question sur les addslashes à postériori en BDD
06/10/2006, 14h13
kankrelune

Normlalement phpMyAdmin se charge de le faire... et quand bien même ce ne serait pas le cas il n'y a aucun interet à retraiter les données... ce qui est important c'est de traiter les données provenant des internaute donc à moins que tout le monde ai accès à ton phpMyAdmin... .. . :aie: ;)

@ tchaOo°
06/10/2006, 14h22
carelha

il me semblait qu'il y avait un intérêt, parce que si dans certaines cellules j'ai bulletin d'information et dans d'autres bulletin d\'information, mon moteur de recherche va chercher celles avec les \ et ne va pas prendre en compte les autres. Non ? y'a une autre solution ?

sinon, j'ai trouvé facilement comme faire, sauf que quand j'importe mes résultats via phpmyadmin les \ dans le fichier csv ne sont pas reconnus et ne sont pas intégrés.

Vivement le week end. Manque un smiley qui s'arrache les cheveux !