fonction anti injection sql

Version imprimable

Bonjour

Je voudrai faire une fonction contre l'injection sql .

J'ai fait ceci mais cela ne fonctionne pas .
Code:

1 2 3 4 5 6 7 8 ?php $k=$_POST['em']; $link=mysql_connect("localhost","root",""); $sql=mysql_query("SELECT em FROM id WHERE em='".$k."'", mysql_real_escape_string($em)); $nb=mysql_num_rows($sql); echo $nb; ?>
ou
Code:

1 2 3 4 5 6 7 8 ?php $k=$_POST['em']; $link=mysql_connect("localhost","root",""); $sql=mysql_query("SELECT em FROM id WHERE em='".$k."'", mysql_real_escape_string($k)); $nb=mysql_num_rows($sql); echo $nb; ?>
Dans les deux cas j 'ai une erreur du type
Code:

1 2 Warning: mysql_query(): supplied argument is not a valid MySQL-Link resource in C:\wamp\www\travaux\immobilier\fr\ins\ctr.php on line 3
Quelqu'un peut m'aider et dire ce qui ne va pas dans ma fonction sql ?

Merci d'avance

Le deuxieme argument de mysql_query() est facultatif et est un lien de connexion ($link dans ton cas)
mysql_real_escape_string() s'applique a une chaine de caractere.
Code:

1 2 3 4 5 6 7 <?php mysql_connect("localhost","root",""); $em=mysql_real_escape_string($_POST['em']); $sql=mysql_query("SELECT em FROM id WHERE em='".$em."'"); $nb=mysql_num_rows($sql); echo $nb; ?>
Avec l'argument facultatif cela donnerait :
Code:

1 2 3 4 5 6 7 <?php $link = mysql_connect("localhost","root",""); $em=mysql_real_escape_string($_POST['em'],$link); $sql=mysql_query("SELECT em FROM id WHERE em='".$em."'",$link); $nb=mysql_num_rows($sql); echo $nb; ?>
N'hesite pas a consulter la documentation pour voir comment bien utiliser les fonctions :
http://fr.php.net/manual/fr/function...ape-string.php

rep

Ok j'ai compris.

Cela fonctionne.

Question : Est ce que mysql_real_escape_string(); est assez efficase contre toutes les attaques d'injection sql ?

Ou faut-il au paravant que je fasse une vérification plus precise du contenu des $_POST[] avec un la fonction (preg_match());

exemple
Code:

1 2 3 4 5 6 7 8 9 10 $h=$_POST['cp'];// code postal if((preg_match('`[^0-9]`i', $h)){echo "caractère interdit";} else{ $link = mysql_connect("localhost","root",""); $em=mysql_real_escape_string($h,$link); $sql=mysql_query("SELECT cp FROM ins WHERE cp='".$h."'",$link); $nb=mysql_num_rows($sql); echo "le nombre d'inscrit ayant pour code postal ".$h." est de :".$nb.""; }
merci !