Discussion :

[jounax]

Bonsoir, j'aimerais votre avis sur cette fonction. Est-elle efficace contre les injections sql?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
 
 
function mysql_escape_input($value) {
 
	if ((!is_null($value)) && strlen($value) > 0) {
		$retval = utf8_decode($value);
		if (get_magic_quotes_gpc())
			$retval = stripslashes($retval);
		$retval = mysql_real_escape_string($retval);
		$retval = addcslashes($retval, '%_'); // escape jokers du LIKE
		$retval = utf8_encode($retval);
	}
	else
		$retval = $value;
	return $retval;
 
}

[sabotage]

A quoi servent les decodage UTF8 ?

[jounax]

Ben justement je me le demande, c'est pour ça que je poste pour avoir vos lumières sur cette fonction.

Il est vrai que l'idée d'avoir une fonction pour sécuriser mes données est alléchante, surtout pour ne pas oublier d'en protéger une au passage.

[ABCIWEB]

Bah plus simplement tu n'as qu'à faire comme indique le manuel

mysql_real_escape_string avec mysql

mysqli_real_escape_string avec mysqli

et des requêtes préparées avec pdo

A noter qu'on peut aussi faire des requêtes préparées avec mysqli. Pour des données sensibles c'est peut-être un peu mieux que mysqli_real_escape_string

Concernant l'extension, le manuel ne conseille pas d'utiliser mysql pour les nouveaux projets car le développement a été arrêté. Tu devrais utiliser mysqli ou pdo.

[julp]

Avec utf8_decode, tout caractère qui n'est pas représentables en ISO-8859-1 est perdu. Alors que mysql_real_escape_string tient justement compte du jeu de caractères de la connexion (ainsi que du mode d'échappement - idem via une requête préparée, bien sûr).

[stealth35]

PDO fait aussi du non préparer (heureusement), c'est PDO::quote pour protéger les valeurs

[ABCIWEB]

PDO fait aussi du non préparer (heureusement), c'est PDO::quote pour protéger les valeurs

Oui mais bon on parle du code le plus optimisé pour se protéger des injections, et depuis le temps qu'on nous serine que les requêtes préparées offrent une sécurité supérieure...

Cela dit t'as raison de préciser qu'on est pas obligé de faire des requêtes préparées avec pdo car c'est devenu presque systématique dans les codes qu'on trouve sur le net, et pourtant cela ne devrait être utilisé qu'à bon escient, puisque normalement c'est un chouia plus lent.