Discussion :

[rogerlenoir]

Je travaille sur une interface d'admin

Quand j'insère des données avec la fonction (safeQote (voir le fichier joint) les antislash n'apparaissent pas dans la base.

les modifs de textes se font mais je ne vois pas les antislash dans la base

Pourtant en retour j'obtiens (par exemple) pour $titre -> \"sans titre\"

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

si $titre = safeQuote($postArray['editTitre']);

et $postArray['editTitre'] vaut "sans titre" (avec les guillemets)

[stealth35]

tu sais à quoi servent les slashes dans ce contexte ?

[rogerlenoir]

merci stealth35
(je ne pouvez pas reçevoir le mail d'avertissement pour ta réponse, maintenant je travaille sur l'ordi qui collecte cette adresse ... désolé de ne pas avoir répondu plus tôt)

Les antislash je pense qu'ils sont censés prévenir les attaques sql

(maintenant que je sais qu'il y a la possibilité d'insérer du code je peux écrire ici la fonction safequote que j'ai écrite, ce sera plus simple pour tous

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
function safeQuote($value)
{
	if (empty($connexion))$connexion = new connexion('maBase');
	$connexion->open();
 	// Stripslashes si get_magic_quotes_gpc
	if (get_magic_quotes_gpc()) 
	{
 		$value = stripslashes($value);
 	}
	//sauvegarde les accents -> j'en ai besoin pour les appels existants 
	$value= html_entity_decode($value, ENT_QUOTES, "UTF-8");
	//echape ce qui doit l'être.
	$value = mysql_real_escape_string($value);
	$connexion->close();
	return $value;
}

a bientôt

[nextdev]

Salut, le problème est que tu remets une couche d'antislashes via la fonction $value = mysql_real_escape_string($value);
Tu n'as "plus besoins" d'échapper tes données pour les afficher.

[rogerlenoir]

bonjour,

je ne cherche pas à afficher les données mais à les insérer dans la base.
Après la fonction mysql_real_escape_string (qui est là pour éviter les injections) j'ai une commande INSERT

Ce qu'il y a de bizarre c'est que les antislash sont bien ajoutés dans la variable php (voir le fichier joint) mais que si je contrôle dans la base (avec php myadmin) ils ne sont pas inscrits.

En plus si je n'utilise pas "mysql_real_escape_string" dans la mesure ou j'intègre du texte en utf8 la base me renvoie une erreur.

Du coup je pense que ma fonction est correcte mais je ne comprends pas
pourquoi je les antislash ne s'affichent pas dans la base.

[Atomya Rise]

(par rapport a ta page gregory.php)

Je vais peut être dire une bêtise mais... a la ligne 18 de ta fonction, cela n'aurais pas du être plutôt comme ceci :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

$value = "'" . mysql_real_escape_string($value) . "'";

Si c'est une bêtise, on oublie hein

Et a la ligne 41, j'aurais écris ceci à la place car là, tu double tes quotes :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

$requete = "UPDATE LOW_PRIORITY articles SET titre=" . $titre . ", texte=" . $texte . " WHERE id = " . $id;

[rogerlenoir]

Atomya Rise
merci pour ta réponse.

Utiliser ta proposition à la ligne 18 revient à rajouter des quotes avant l'insertion ... et la ma base (qui semble bien paramétrée) refuse la commande et envoie un message d'erreur.

ta seconde remarque est juste, mais hélas elle ne modifie rien.
en fait on peut aussi écrire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$requete = "UPDATE LOW_PRIORITY articles SET titre=$titre, texte= $texte WHERE id =$id";

Tout semble dire que le paramétrage de la base interdit l'insertion d'apostrophse (simples ou doubles) sauf s'ils sont échappés.
Mais que lorsqu'ils sont échappés elle accepte les quotes mais pas les antislash d'échappement.

[Invité]

les antislash n'apparaissent pas dans la base.

Bonjour,
tu oublies juste que c'est AUSSI de l'affichage de données !

[rogerlenoir]

jreaux62, merci pour ton intéret.

Ce serait donc normal ?
Tu sembles dire qu'il y aurait une fonction du genre stripslashes qui ferait que je ne vois pas les antislash.

Pourtant si c'était le cas je devrais au moins retrouver mes antislash dans le fichier sql (après avoir fait un export)
Et ce n'est pas le cas.

De plus il y a des anciennes données dans cette base (remarque que je sais pas comment elles ont été insérées) et elles ont des antislash
et chaque fois que j'ouvre ces fichiers dans mon admin et que je les réinjecte les antislash devant les apostrophes (simples ou doubles) ne s'inscrivent plus.

[rogerlenoir]

Atomya Rise

en fait ma syntaxe était bonne
c'est bien ainsi que l'on doit écrire

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$requete = "UPDATE LOW_PRIORITY articles SET titre='$titre', texte= '$texte' WHERE id ='$id"';

suite à ta proposition j'ai proposé une version sans les simples apostrophes qui encadrent la variable, mais cette version renvoie des erreurs.

Pour info ta version renvoie elle aussi des erreurs
chez moi il faut encadrer ma variable par des simples quotes

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$requete = "UPDATE LOW_PRIORITY articles SET titre='" . $titre . "', texte='" . $texte . "' WHERE id = " . $id;

[nextdev]

Bon béh c'est que tout va bien alors

Les serveurs ou tu vois un \ s'inscrire dans la base également sont "mal configuré", sont en générale avec magic quotes on (et sans un stripslashes comme dans ta fonction), du coup la variable se prend deux échappements, et donc sql inscrit un \ quand meme, car ta chaine est devenu \\"sans titre\\".

[rogerlenoir]

Merci Nextdev,
Grace à toi je vais dormir tranquille !
Je vais donc marquer ce post comme résolu.

Et merci aussi à tous ceux qui ont pris la peine de me répondre.

A+