Discussion :

[jep33]

Actuellement je fais cela :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
if (!get_magic_quotes_gpc())
{
$surname=addSlashes($surname);
$name=addSlashes($name);
}
 
…
$result=$this->db->query($sql);

Les données avec un apostrophe sont bien insérées dans la base. Par contre est-ce que cela suffit pour se protéger des injections Sql ou faut–il en plus utiliser la fonction mysql_real_escape_string ?

Il faut utiliser les deux fonctions ou l’une ou l’autre ?
Je me mélange un peu les pinceaux je dois dire…

[Eusebe]

La meilleure solution est :
- de désactiver les magic_quotes (utiliser stripslashes si get_magic_quotes_gpc retourne TRUE) ;
- d'utiliser la fonction d'échappement de la chaîne de caractère dédiée au connecteur à la base (mysql_real_escape_string pour le connecteur mysql).

Il ne faut pas utiliser mysql_real_escape_string et addslashes ou mysql_real_escape_string et les magic_quotes ensemble, sinon tu auras des antislashs en trop dans ta base...

addslashes suffit en pratique pour se protéger des injections SQL, mais il est préférable d'utiliser les fonctions fournies par le connecteur

[jep33]

La meilleure solution est :
- de désactiver les magic_quotes (utiliser stripslashes si get_magic_quotes_gpc retourne TRUE) ;
- d'utiliser la fonction d'échappement de la chaîne de caractère dédiée au connecteur à la base (mysql_real_escape_string pour le connecteur mysql).

Il ne faut pas utiliser mysql_real_escape_string et addslashes ou mysql_real_escape_string et les magic_quotes ensemble, sinon tu auras des antislashs en trop dans ta base...

addslashes suffit en pratique pour se protéger des injections SQL, mais il est préférable d'utiliser les fonctions fournies par le connecteur

Ok pour la réponse, j'ai encore une question
lorsque mon champ $surname vaut "test'#" cela fait bugger ma requête SQL.

C'est quoi le souci avec le caractère #?

[Eusebe]

Peux-tu nous montrer le code SQL de la requête correspondante ?

Et quel est le message d'erreur renvoyé par MySQL ?

[jep33]

Peux-tu nous montrer le code SQL de la requête correspondante ?

Et quel est le message d'erreur renvoyé par MySQL ?

Euhh en fait je viens de trouver mon problème, je faisais un sustr sur la variable après la fonction addslashes donc du coup il me manquait un caractère.
C'est pour cela que j'avais un problème.
Il y a bien sûr pas de souci avec le caractère '#'