Modification de la bdd avec mysql_real_escape

Version imprimable

24/04/2010, 16h32
madstrix

Modification de la bdd avec mysql_real_escape

Je suis entrain de sécuriser mon code php et je me demandais si cette syntaxe était juste :

Code:

mysql_query("UPDATE matable SET gains=gains+'".mysql_real_escape_string($var)."' where id='".mysql_real_escape_string($id)."' AND idmembre='$idmbr'");

Merci
24/04/2010, 19h00
Seb33300

mysql_real_escape_string() est une fonction qui sert à sécuriser les chaines de caractères dans les requêtes MySQL.

Dans ton cas gains=gains+'".mysql_real_escape_string($var)."'

je suppose que le champ gains est un numérique et pas une chaine de caractère.
mysql_real_escape_string n'a donc pas lieu d'être utilisé ici.

Par contre il faut :
- soit vérifier avant d'exécuter ta requête que $var est bien une valeur numérique avec is_int() ou is_float() etc..
- soit ne pas vérifier et protéger ton champ par un intval() ou floatval() suivant le type de champ à la place de mysql_real_escape_string()
24/04/2010, 19h16
madstrix

ok merci et htmlentities() sert a quoi ?
et si il ya des nombres et caracteres speciaux ? je met quoi ?
24/04/2010, 19h32
Seb33300

c'est pour transformer les caractères spéciaux par leur code html.

Par exemple € deviendra €

ça sert uniquement à l'affichage sur ton site.
Si par exemple tu proposes aux membres de ton site d'écrire leur présentation sur leur profil, rien ne les empêche d'écrire quelque chose comme :

Citation:

<script type="text/javascript">
...
</script>

Si tu affiches ça tel quel sans utiliser htmlentities, alors ce sera considérer comme du code html et le code javascipt s'exécutera.

Si tu utilise htmlentities alors les caractères spéciaux comme < ou > seront convertis et donc ne sera pas considéré comme du code html.
24/04/2010, 19h49
madstrix

d'accord et si je veut insérer dans ma bdd des nombres et des caractere speciaux j'utilises quand meme inval ?
24/04/2010, 19h53
Seb33300

intval() pour les champs qui ne doivent contenir que des nombres entier
floatval() pour les champs qui ne doivent contenir que des nombres à virgule
mysql_real_escape_string() pour les champs text / varchar
24/04/2010, 21h23
madstrix

et si je veut insérer un truck du type : 250*600 je met quoi ?
25/04/2010, 12h04
sabotage

"250*600" est une chaine de caractère donc mysql_real_escape_string()
25/04/2010, 13h43
madstrix

okay merci a vous deux.