[Sécurité] Utilisation mysql_real_escape_string ou magic quote

Bonjour,

Au niveau de la sécurité sur l'entrée des données d'un formulaire dans la base de donnée, j'aimerai savoir s'il vaut mieux utiliser un mysql_escape_string ou plutôt activé les magic quote (ou magic_quotes_runtime dont j'ai entendu parlé dernièrement, où même magic_quotes_gpc ) et dans ce cas là on peut se permettre d'envoyer directement les tableaux sans utiliser de fonctions de nettoyage et donc gain de rapidité en développement.

Sachant que tous les deux ne font que rajouter des slashs.


Qu'en pensez-vous ?

Si il n'y a a prioris pas de méthode juste ou de méthode fausse, personellement et dans la mesure du possible, je préfère désactiver le magic_quote et mettre des mysql_escape_string.

On notera dans le php.ini un commentaire conseillant cette méthode dans un but de performances (pour les 386 SX25 peut etre).

:salut:
Evite autant que possible d'activer les magic_quotes ;)

ok ok ok