Discussion :

[oranocha]

Bonjour,

J'ai une classe Database dans laquelle j'ai la fonction suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
 
function getResult($q)
    {
        $query = $this->makeQuery($q);
 
        while ($line = mysql_fetch_assoc($query)) {
            $result[] = $line;
        }
 
        mysql_free_result($query);
 
        return $result;
    }

En résumé, cette fonction me permet d'obtenir, à la sortie, un tableau contenant les différentes données provenant d'une requête SQL exécutée au préalable.

Pour exemple, voici ce que peut contenir cette variable $result :

Code X :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
Array ( [0] => Array ( [pageid] => 1 [pagesection] => 1 [pagesurtitre] => You on Web [pagetitre] => Votre partenaire pour le Web [pagesoustitre] => Project Management - Développement - Hébergement Web [pagechapeau] => You on Web vous propose de concevoir votre site Web dynamique facilement modifiable à la façon d'un CMS. You on Web, c'est aussi un service d'hébergement professionnel. [pagetexte] =>

You on Web offre la possibilité à tout le monde d'avoir sa présence sur le Web. Pour cela :

    * You on Web vous propose un service d'hébergement (web hosting) professionnel et à la carte ! Choisissez et payez uniquement les services qui vous sont utiles.
    * You on Web vous offre la possibilité d'obtenir votre site Web à des prix adaptés et adaptables à tous les budgets tout en ne bradant pas la qualité.
    * You on Web vous propose des solutions vous permettant de gérer facilement l'ensemble du contenu de votre site Web, sans connaissance nécessaire en programmation car, pour qu'un site soit réellement dynamique, il doit pouvoir se mettre à jour rapidement.
    * You on Web s'articule autour de votre équipe pour déterminer ensemble le cahier des charges et être en mesure de répondre correctement à vos attentes.
    * You on Web c'est également votre partenaire pour la mise en place de votre stratégie de référencement et de positionnement car, avoir un site c'est une chose, le faire connaître en est une autre ! 

[pagedate] => 2007-11-27 [pagestatut] => 1 [pagelangue] => 1 [pagetype] => 1 [pageuser] => 1 [pagetime] => 14:35:00 ) )

Ce que j'aimerai faire dans cette fonction getResult avant de faire le return, c'est de parcourir l'ensemble des infos qui sont dans la variable $line pour les faire passer par un stripslashes et ensuite les replacer dans le tableau $result.

Ainsi, si je fais un print_r($result['pagesection'], par exemple, je n'aurai pas les caractères d'échappement.

Merci de vos conseils ... si je ne trouve rien, je devrai m'amuser à faire cela à chaque fois que je sors des données de la DB ...

[b_zakaria]

Salut,
tu peux essayer ça:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
$taille_du_tableau = count($result);
for($i=0;$i<$taille_du_tableau;$i++)
{
   $result[$i] = stripslashes( $result[$i]);
}

Qui sait ... ça pourrait marcher !

[Eusebe]

Bonjour,

je ne comprend pas pourquoi tu veux faire un stripslashes avant d'afficher les données de ta base...

Dans l'exemple que tu as donné, je ne vois pas de caractères échappés ?

[b_zakaria]

Euh ... à mon avis il voulait dire "apostrophes", non?

[Eusebe]

Euh ... à mon avis il voulait dire "apostrophes", non?

Je ne comprend pas ce que tu veux dire (peut-être la fatigue...).

stripslashes est une fonction qui permet de supprimer les caractères d'échappement (\). En général, c'est utilisé quand les magic_quotes sont activées, et que l'on veut afficher directement les données d'un formulaire.

En récupération du contenu d'une base de données, il n'y a pas de raison que des caractères soient échappés. C'est pourquoi à mon sens il n'y a pas de raison d'utiliser stripslashes à ce niveau...

[oranocha]

Navré ... mea culpa ... Je n'ai pas donné toutes les infos ...

Mon but est bien entendu de faire passer toutes les données qui devront être injectées dans ma DB par un mysql_real_escape_string pour justement échapper les différents caractères à risque.

Donc il est vrai que dans l'exemple donné, pas nécessaire mais dans la réalité, cela le sera :-)

[sabotage]

plus simple

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
foreach ($tableau as &$value) {
    $value = stripslashes($value);
}

[ddong]

Navré ... mea culpa ... Je n'ai pas donné toutes les infos ...

Mon but est bien entendu de faire passer toutes les données qui devront être injectées dans ma DB par un mysql_real_escape_string pour justement échapper les différents caractères à risque.

Donc il est vrai que dans l'exemple donné, pas nécessaire mais dans la réalité, cela le sera :-)

mysql_real_escape_string, c'est à l'insertion des données. Là, tu nous montres une fonction de récupération des données. En tant que telle, elle n'a rien à faire. Ce sera à l'affichage que des fonctions du genre htmlspecialchars seront éventuellement utiles.

Sinon pour répondre strictement à la question :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$array = array_map('stripslashes', $array);

[Eusebe]

Navré ... mea culpa ... Je n'ai pas donné toutes les infos ...

Mon but est bien entendu de faire passer toutes les données qui devront être injectées dans ma DB par un mysql_real_escape_string pour justement échapper les différents caractères à risque.

Donc il est vrai que dans l'exemple donné, pas nécessaire mais dans la réalité, cela le sera :-)

Non, l'échappement des caractères est nécessaire avant insertion pour éviter par exemple des injections SQL. Mais il n'est absolument pas nécessaire de faire un stripslashes à la lecture des données...

Tu n'as qu'à faire un essai d'insertion de données échappées dans ta base, et tu verras le résultat

[oranocha]

Non, l'échappement des caractères est nécessaire avant insertion pour éviter par exemple des injections SQL. Mais il n'est absolument pas nécessaire de faire un stripslashes à la lecture des données...

Tu n'as qu'à faire un essai d'insertion de données échappées dans ta base, et tu verras le résultat

J'ai donc fait ce test en insérant un commentaire dans la DB avec un mysql_real_escape_string avant d'insérer les données dans la table.

Quand je fais ensuite un select, si je ne tape pas un stripslashes avant la lecture, les échappements apparaissent

[Eusebe]

J'ai donc fait ce test en insérant un commentaire dans la DB avec un mysql_real_escape_string avant d'insérer les données dans la table.

Quand je fais ensuite un select, si je ne tape pas un stripslashes avant la lecture, les échappements apparaissent

Tu peux nous montrer à quoi ressemble ton commentaire avant insertion dans la base (et après le mysql_real_espace_string) ?

Je soupçonne un problème de magic quotes activés...

[oranocha]

Entretemps, j'ai résolu cela en modifiant ma fonction avec les conseils fournis :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
 
function getResult($q)
    {
        $query = $this->makeQuery($q);
 
        while ($line = mysql_fetch_assoc($query)) {
            $array = array_map('stripslashes', $line);
            $result[] = $array;
        }
 
        mysql_free_result($query);
 
        return $result;
    }

En ajoutant la ligne

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$array = array_map('stripslashes', $line);

les caractères échappés sont automatiquement transformés et c'est donc OK

Merci à tous,
Olivier

[Eusebe]

Ca fonctionne peut-être, mais ce n'est pas portable. Si tu changes de serveur, il risque d'y avoir des surprises...