[Sécurité] Activation d'une variable globale

Version imprimable

27/09/2005, 22h44
Ricou13

[Sécurité] Activation d'une variable globale
Bonjour,

J'ai un petit souci avec la mise en forme de mes chaines de caractères avant utilisation dans des requètes SQL.

Lors du développement en local, j'utilisais ceci pour traiter les guillemets:
Code:

1 2 3 4 5 6 7 function toSQL($variable) { //Retourne la variable formatée en chaine de caractère pour les requètes SQL ... $temp = str_replace('"', '\"', $variable); return '"' . $temp . '"'; ...
Lorsque je mets le site chez mon hébergeur, je dois remplacer ce code par un simple

Code:

return '"' . $variable . '"';

Je pense que c'est un flag dans PHP qui doit être activé pour que se soit automatique mais je ne sais pas lequel ni comment l'activer (je n'ai jamais ouvert le PHP.ini)

Pourriez-vous m'expliquer la marche à suivre ?
Merci
27/09/2005, 23h34
rabobsky

et qu est ce qu'il y a comme erreur quand tu met le premier code sur le serveur?

Ton hebergeur a sûrement magic_quotes_gpc d'activé.

Il faut mettre au début de chacun de tes scripts

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
function stripArray(&$array)
{
     foreach($array as $k => $v)
     {
          if(is_array($v))
          {
               stripArray($array[$k]);
          }
          else
          {
               $array[$k] = stripslashes($v);
          }
     }
}
 
if(get_magic_quotes_gpc())
{
    stripArray($_GET);
    stripArray($_POST);
    stripArray($_COOKIE);
    stripArray($_REQUEST);
}

Citation:

Envoyé par loufoque

Ton hebergeur a sûrement magic_quotes_gpc d'activé.

C'est ça ! En lisant ton code, j'ai testé avec 'get_magic_quotes_gpc()' et, effectivement, magic_quotes_gpc est actif chez l'hébergeur mais pas chez moi.

Ce que je ne comprend pas, c'est l'utilité de ton code qui utilise une fonction récursive (donc gourmande en ressources) pour enlever les slashes ajoutés automatiquement par l'hébergeur afin que ma fonction les réajoutes par le suite ?

Ne serait-il pas plus simple de faire :
Code:

1 2 3 4 5 6 7 8 9 10 11 function toSQL($variable) { //Retourne la variable formatée en chaine de caractère pour les requètes SQL ... // Si l'hébergeur utilise les Magic quotes, on ne touche pas à la chaine // sinon, on protège manuellement les caractères spéciaux if(get_magic_quotes_gpc()) return '"' . $variable . '"'; else return '"' . addslashes($variable) . '"'; ...