Insertion de donnée dans une base MySql

Version imprimable

31/10/2008, 08h21
jep33

Insertion de donnée dans une base MySql
Actuellement je fais cela :
Code:

1 2 3 4 5 6 7 8 if (!get_magic_quotes_gpc()) { $surname=addSlashes($surname); $name=addSlashes($name); } … $result=$this->db->query($sql);
Les données avec un apostrophe sont bien insérées dans la base. Par contre est-ce que cela suffit pour se protéger des injections Sql ou faut–il en plus utiliser la fonction mysql_real_escape_string ?

Il faut utiliser les deux fonctions ou l’une ou l’autre ?
Je me mélange un peu les pinceaux je dois dire…
31/10/2008, 10h27
Eusebe

La meilleure solution est :
- de désactiver les magic_quotes (utiliser stripslashes si get_magic_quotes_gpc retourne TRUE) ;
- d'utiliser la fonction d'échappement de la chaîne de caractère dédiée au connecteur à la base (mysql_real_escape_string pour le connecteur mysql).

Il ne faut pas utiliser mysql_real_escape_string et addslashes ou mysql_real_escape_string et les magic_quotes ensemble, sinon tu auras des antislashs en trop dans ta base...

addslashes suffit en pratique pour se protéger des injections SQL, mais il est préférable d'utiliser les fonctions fournies par le connecteur ;)
31/10/2008, 13h39
jep33

Citation:

Envoyé par Eusebe

La meilleure solution est :
- de désactiver les magic_quotes (utiliser stripslashes si get_magic_quotes_gpc retourne TRUE) ;
- d'utiliser la fonction d'échappement de la chaîne de caractère dédiée au connecteur à la base (mysql_real_escape_string pour le connecteur mysql).

Il ne faut pas utiliser mysql_real_escape_string et addslashes ou mysql_real_escape_string et les magic_quotes ensemble, sinon tu auras des antislashs en trop dans ta base...

addslashes suffit en pratique pour se protéger des injections SQL, mais il est préférable d'utiliser les fonctions fournies par le connecteur ;)

Ok pour la réponse, j'ai encore une question
lorsque mon champ $surname vaut "test'#" cela fait bugger ma requête SQL.

C'est quoi le souci avec le caractère #?
31/10/2008, 13h51
Eusebe

Peux-tu nous montrer le code SQL de la requête correspondante ?

Et quel est le message d'erreur renvoyé par MySQL ?
05/11/2008, 07h44
jep33

Citation:

Envoyé par Eusebe

Peux-tu nous montrer le code SQL de la requête correspondante ?

Et quel est le message d'erreur renvoyé par MySQL ?

Euhh en fait je viens de trouver mon problème, je faisais un sustr sur la variable après la fonction addslashes donc du coup il me manquait un caractère.
C'est pour cela que j'avais un problème.
Il y a bien sûr pas de souci avec le caractère '#'

:oops: