Discussion :

[carmen256]

Bonjour

Je voudrai faire une fonction contre l'injection sql .

J'ai fait ceci mais cela ne fonctionne pas .

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
?php
$k=$_POST['em'];
$link=mysql_connect("localhost","root","");
$sql=mysql_query("SELECT em FROM id WHERE em='".$k."'", mysql_real_escape_string($em));
$nb=mysql_num_rows($sql);
echo $nb;
?>

ou

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
?php
$k=$_POST['em'];
$link=mysql_connect("localhost","root","");
$sql=mysql_query("SELECT em FROM id WHERE em='".$k."'", mysql_real_escape_string($k));
$nb=mysql_num_rows($sql);
echo $nb;
?>

Dans les deux cas j 'ai une erreur du type

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
Warning: mysql_query(): supplied argument is not a valid MySQL-Link resource in C:\wamp\www\travaux\immobilier\fr\ins\ctr.php on line 3

Quelqu'un peut m'aider et dire ce qui ne va pas dans ma fonction sql ?

Merci d'avance

[sabotage]

Le deuxieme argument de mysql_query() est facultatif et est un lien de connexion ($link dans ton cas)
mysql_real_escape_string() s'applique a une chaine de caractere.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
<?php
mysql_connect("localhost","root","");
$em=mysql_real_escape_string($_POST['em']);
$sql=mysql_query("SELECT em FROM id WHERE em='".$em."'");
$nb=mysql_num_rows($sql);
echo $nb;
?>

Avec l'argument facultatif cela donnerait :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
<?php
$link = mysql_connect("localhost","root","");
$em=mysql_real_escape_string($_POST['em'],$link);
$sql=mysql_query("SELECT em FROM id WHERE em='".$em."'",$link);
$nb=mysql_num_rows($sql);
echo $nb;
?>

N'hesite pas a consulter la documentation pour voir comment bien utiliser les fonctions :
http://fr.php.net/manual/fr/function...ape-string.php

[carmen256]

Ok j'ai compris.

Cela fonctionne.

Question : Est ce que mysql_real_escape_string(); est assez efficase contre toutes les attaques d'injection sql ?

Ou faut-il au paravant que je fasse une vérification plus precise du contenu des $_POST[] avec un la fonction (preg_match());

exemple

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
$h=$_POST['cp'];// code postal
if((preg_match('`[^0-9]`i', $h)){echo "caractère interdit";}
else{
$link = mysql_connect("localhost","root","");
$em=mysql_real_escape_string($h,$link);
$sql=mysql_query("SELECT cp FROM ins WHERE cp='".$h."'",$link);
$nb=mysql_num_rows($sql);
echo "le nombre d'inscrit ayant pour code postal ".$h." est de :".$nb."";
    }

merci !