Discussion :

[jdiamsss]

Bonjour,

Sur mon site PHP, j'ai des formulaires liés à une base Oracle.
Or, quand je saisi un Apostrophe dans un champ Texte, le UPDATE ne fonctionne pas...
Je n'ai pas trouvé de moyen pour pourvoir en saisir quand meme...

si quelqu'un connait la solution...

Merci.

jdiamsss

[vg33]

Passe ta donnée par mysql_real_escape_string().

[adil_aeh]

Bonjour,
Moi aussi j'avais le même probléme dans un projet en php, la solution que j'ai trouvé c'est la fonction addslashes(), elle permet d'ajouet des slashes afin que la requête soit accepté
si ta zone de texte est nommée : zone_texte
alors

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$texte = $_POST['zone_texte'];
            $texte = addslashes($texte);

là tu peux utiliser la variable $texte dans ta requête sans probléme

[vg33]

Bonjour,
Moi aussi j'avais le même probléme dans un projet en php, la solution que j'ai trouvé c'est la fonction addslashes(), elle permet d'ajouet des slashes afin que la requête soit accepté
si ta zone de texte est nommée : zone_texte
alors

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$texte = $_POST['zone_texte'];
            $texte = addslashes($texte);

là tu peux utiliser la variable $texte dans ta requête sans probléme

Je ne suis pas d'accord. mysql_real_escape_string() ne protège pas que les apostrophes, elle protège tous les caractères dangereux d'une chaîne. Elle est donc la seule à te garantir la sécurité à 100% de ta requête.
D'après le manuel php :

mysql_real_escape_string() protège les caractères spéciaux de la chaîne unescaped_string, en prenant en compte le jeu de caractères courant de la connexion link_identifier. Le résultat peut être utilisé sans problème avec la fonction mysql_query(). Si des données binaires doivent être insérées, cette fonction doit être utilisée.

mysql_real_escape_string() appelle la fonction mysql_escape_string() de la bibliothèque MySQL qui ajoute un slashe aux caractères suivants : NULL, \x00, \n, \r, \, ', " et \x1a.

Cette fonction doit toujours (avec quelques exceptions) être utilisée pour protéger vos données avant d'envoyer la requête à MySQL.

[adil_aeh]

Oui, tu as tout à fait raison vg33, addslashes() ne protége la chaine que contre les guillemets simples ( ' ), guillemets doubles ( " ), anti-slash ( \ ) et NUL (le caractère NULL ). Merci pour l'information