Discussion :

[Space Cowboy]

Je cherche a savoir comment utiliser cette fonction, j'ai cru comprendre qu'il n'y avais pas mieux.

Avant, quand je voulais enregistrer une requete dans ma BDD, je faisais un addslashes() sur la variables avant de l'inserer dans la requete. Ce qui fait que dans la BDD il y avait des \ devant les ' ".

J'ai vus dans la doc php une facon d'utilisais cette fonction :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
$quete_date 	= 'NOW()';
$quete_jeux 	= 'aaaaa';
$quete_ville 	= 'bbb bbb';
$quete_nom 		= 'cccc';
$quete_text 	= "ddddddi l'apppa ddddd '' ddddd";
 
$sql = sprintf("INSERT INTO fo_quete (quete_date ,quete_jeux, quete_ville, quete_nom, quete_text) VALUES(NOW(), '%s', '%s', '%s', '%s' )",	
				mysql_real_escape_string($quete_jeux),
				mysql_real_escape_string($quete_ville),
				mysql_real_escape_string($quete_nom),
				mysql_real_escape_string($quete_text));
$res = mysql_query($sql);

Est elle mieux que

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
$sql='INSERT INTO fo_quete (quete_date,quete_jeux,quete_ville,quete_nom,quete_text)
			VALUES(
					"' . mysql_real_escape_string($quete_date)	.'", 
					"' . mysql_real_escape_string($quete_jeux)	.'", 
					"' . mysql_real_escape_string($quete_ville)	.'", 
					"' . mysql_real_escape_string($quete_nom)		.'", 
					"' . mysql_real_escape_string($quete_text)	.'" )'; 
$res = mysql_query($sql);

J'ai remarquer que cette fonctionne ajouter des \ au variables, mais seulement à l'envoie, mysql apparament supprimer les \ dans la BDD.

J'en fait une utilisation correcte niveau sécurité ?

[siddh]

j'allais te dire qu'il faut faire gaffe aux magic_quotes

mais sur http://fr2.php.net/manual/fr/functio...ape-string.php

ils donnent l'exemple 3 :

L'utilisation de la fonction mysql_real_escape_string() sur chaque variable évite les injections SQL. Cet exemple démontre la méthode la plus propre pour envoyer une requête à la base, indépendamment de votre configuration des guillemets magiques.

Ce qui fait que tu peux prendre exemple sur celui la et que ce sera sécurisé comme il faut.