Bonjour,
Je suis pris soudain d'un doute affreux et tenaillant qui me pousse à aller me coucher, mais bon je vais tâcher d'être courageux.
Voilà, chez mon hébergeur, OVH, register_global est à ON, donc dans mes requêtes sql, je peux écrire de la même façon :
1 2 3 4 5
| WHERE '".$var."'
ou
WHERE '".$_POST['var']."'
ou
WHERE '".$_GET['var']."' |
Mais à réception d'une variable GET, ou POST, je fais cela bien sûr :
$var=mysql_real_escape_string($_GET['var']);
Puis j'insère $var dans les requêtes suivantes, comme ci-dessus.
Alors compte tenu du fait que register_global est à ON, je me demande si je ne devrais pas plutot faire :
$bob=mysql_real_escape_string($_GET['var']);
C'est à dire changer le nom de la variable, plutôt que d'insérer dans les requêtes SQL de la page une variable qui ait le même nom que celle réceptionnée par POST ou GET.
Vous en pensez quoi, s'il vous plaît ?
Partager