[Sécurité] addslashes & mysql_real_escape_string ?

Version imprimable

16/05/2008, 16h45
pop_up

[Sécurité] addslashes & mysql_real_escape_string ?
Bonjour,

Pour securiser mes requetes ou je passe des parametres en post ou en get, je rajoute la fonction mysql_real_escape_string

Sauf que pour certain champs, j'ai des doutes.
J'ai des champs qui contiennent du contenu html par exemple. J'insere ces champs en faisant pour chacun :
Code:

1 2 addslashes(htmlentities($champ));
Alors je suis en train de me dire que si je fait un mysql_real_escape_string avant ou aprés, ça va me quadrupler mes slash par exemple non ?

est ce que je peux l'utiliser ici ou pas car je me demande si il y a pas une faille si un hacker essai de mettre un quote.

Pouvez vous me conseiller ?

merci
16/05/2008, 17h12
Raideman

Lorsque tu fais une insertion en base de données, tu as besoin de sécuriser les caractères sensibles pour mysql, et donc, on utilise généralement mysql_real_escape_string.

Il n'y a pas besoin d'htmlentities ou d'addslashes. HTMLENTITIES va convertir la chaine en entité HTML, et tu vas te retrouver avec du html en bdd donc, ce qui n'est pas la bonne méthode.
HTMLENTITIES s'utilise plutot pour afficher du contenu textuel dans une page web, pour assurer un affichage correct de tes caracteres dans une page web.

Pour résumé :

->Pour insérer en bdd : mysql_real_escape_string();
->Pour afficher une donnée à l'écran : htmlentities($var,ENT_QUOTES)
16/05/2008, 19h08
pop_up

Citation:

Il n'y a pas besoin d'htmlentities ou d'addslashes.

Si justement car le client ne veut pas stocker <p>un fichier toto/titi.gif</p> mais plutot la chaine encodée

aprés l'utilité du addslashes, peut etre que je peut le remplacer par mysql_real_escape_string(); non ?
17/05/2008, 18h34
Yogui

Salut

C'est en général pour répondre à cette problématique que le texte n'est pas formaté en HTML dans la base, mais à l'aide de BBCode ou d'une syntaxe Wiki. Cela t'oblige à effectuer un traitement avant d'enregistrer en base, + un autre avant d'afficher dans le navigateur, mais c'est la meilleure option à long terme ;)
20/05/2008, 06h58
pop_up
Merci pour ta réponse yogui mais j'ai peur de pas comprendre ?

Ce que je fais convient ou non ?

Faut t'il que je garde
Code:

1 2 addslashes(htmlentities($champ));
et surtout est ce que niveau sécurité c'est ok ou faut-il que je remplace par autre chose ?

merci
20/05/2008, 10h18
Yogui

Ce n'est pas du tout adapté :aie:

En gros, pour envoyer dans la BDD tu devrais employer la fonction spécifique à cette BDD (par exemple mysql_real_escape_string pour MySQL), ou pour envoyer dans une page Web tu utilises htmlspecialchars ou htmlentities.

Chaque utilisation de la variable a sa propre fonction pour la mettreen forme, il ne faut pas les confondre.

Si tu utilises htmlentities/htmlspecialchars pour enregistrer en base, cela complique les choses lorsque tu voudras envoyer les mêmes infos dans un document non-HTML (par exemple Word, PDF, image...). La BDD n'est pas prévue pour enregistrer des données déjà mises en forme, c'est pour cela qu'il existe les syntaxes alternatives comme Markdown et Wiki.

Au passage, addslashes n'est presque jamais adapté à la situation.