sql et texte avec guillemets

**licorne** · 23/12/2005, 15h54

Bonjour,

J'insère dans une table mysql du texte contenant des guillemets.
Lors de l'ordre INSERT INTO la requête sort en erreur car il y a un mélange de guillemets du texte et de guillemets de la requête.
Existe t'il une fonction sql qui ignorerait les guillemets d'un texte à insérer ?

Merci pour vos suggestions.

**Mr N.** · 23/12/2005, 15h59

mysql_real_escape_string 8)

**Bebel** · 23/12/2005, 16h00

pour les requetes SQL si
tu as des " tu dois les antislashe avec addslashes
sinon si tu as des ' il faut que tu les doubles, le mieux dans ce cas la est d'utilise

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
replace("'","''",$montexte)

mais je pense qu'avec un peu de recherche tu aurais pu le trouver

**Death83** · 23/12/2005, 16h01

y'a plus simple tu fait un addslashes de ton texte et apres tu fait un stripslashes a l'affichage et tu n'aura plus a tesoucier des probleme de " et '

**Mr N.** · 23/12/2005, 16h08

argggh vous vous compliquez la vie et il y a des caractères spéciaux pour mysql, que addslashes ne protège pas, et qui permettent une injection sql...

Et normalement un addslashes pour insertion dans la bd ne devrait pas nécessiter de stripslashes au sortir de celle-ci.

**Death83** · 23/12/2005, 16h14

Envoyé par Mr N.

argggh vous vous compliquez la vie et il y a des caractères spéciaux pour mysql, que addslashes ne protège pas, et qui permettent une injection sql...

Et normalement un addslashes pour insertion dans la bd ne devrait pas nécessiter de stripslashes au sortir de celle-ci.

CHez free si

.

**Mr N.** · 23/12/2005, 16h17

Ah ? intéressant. Que vaut magic_quotes_runtime ?

**Death83** · 23/12/2005, 16h19

Envoyé par Mr N.

Ah ? intéressant. Que vaut magic_quotes_runtime ?

Justement c'est à cause de ca il est désactivé chez eux. Mais sur mon esayphp ca marche sans les stripslashes. Mais bon c'est toujours mieu de les mettre dans le cas ou le site se ballade de serveur en serveur (comme ca ca marche partout).

**Mr N.** · 23/12/2005, 16h27

Que vaut magic_quotes_runtime chez free ?

Sinon je suis pas trop d'accord de le mettre partout à l'aveugle

si je rentre explicitement ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

\'

chez toi apres le addslashes, dans la bd on a :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

\'

si tu ressors le truc, tu fais un stripslashes dessus et tu te retrouves avec

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Alors que chez free, quand tu ressors de mysql tu te retrouves avec

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

\\\'

plus le stripslashes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

\'

A confirmer bien sur...

**licorne** · 23/12/2005, 16h29

Envoyé par Mr N.

mysql_real_escape_string 8)

Ca ne marche pas.
Voici ma requête :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
	$requete_infojour = 'UPDATE infojour SET ij_titre = "'.$titre.'",ij_texte = "'.$texte.'" ,ij_date = "'.$date.'" ,ij_ligne = "'.$ligne.'" WHERE ij_id = '.$ident_ij.' AND ij_pijid = '.$ident_ag;
	mysql_real_escape_string($ij_titre);
	mysql_real_escape_string($ij_texte);
	$resultat_infojour = mysql_query($requete_infojour,$base);
	controle_table($resultat_infojour,$requete_infojour);

Ma fonction jscript qui initialise un lien à intégrer dans un champ texte :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
		monlien = "&nbsp;\<a href=http://"+document.getElementById('lien').value+"/>"	
					+document.getElementById('saisielien').value+"</a>"; 
		document.getElementById('ij_texte').innerHTML += monlien;

La requête échoue sur l'insertion de texte dans ij_texte.
Je ne comprends pas

**Mr N.** · 23/12/2005, 16h34

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
$requete_infojour = 'UPDATE infojour SET ij_titre = "'.mysql_real_escape_string($titre).'",ij_texte = "'.mysql_real_escape_string($texte).'" ,ij_date = "'.$date.'" ,ij_ligne = "'.$ligne.'" WHERE ij_id = '.$ident_ij.' AND ij_pijid = '.$ident_ag;
$resultat_infojour = mysql_query($requete_infojour,$base);
controle_table($resultat_infojour,$requete_infojour);

**Mr N.** · 23/12/2005, 16h36

au fait c'est des quotes et pas des guillemets qu'il faut utiliser :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$requete_infojour = "UPDATE infojour SET ij_titre = '".mysql_real_escape_string($titre)."',ij_texte = '".mysql_real_escape_string($texte)."' ,ij_date = '".$date."' ,ij_ligne = '".$ligne."' WHERE ij_id = '.$ident_ij.' AND ij_pijid = '.$ident_ag;

....

**Death83** · 23/12/2005, 16h44

Envoyé par Mr N.

Que vaut magic_quotes_runtime chez free ?

Sinon je suis pas trop d'accord de le mettre partout à l'aveugle

si je rentre explicitement ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

\'

chez toi apres le addslashes, dans la bd on a :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

\'

si tu ressors le truc, tu fais un stripslashes dessus et tu te retrouves avec

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Alors que chez free, quand tu ressors de mysql tu te retrouves avec

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

\\\'

plus le stripslashes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

\'

A confirmer bien sur...

Mon site en test est actuellement chez free et stripslashes addslashes marche nickel

.

J'ai copier coller ton post et l'ai poster comme une news et regarde ce que ca affiche :

http://manganime.0.free.fr/index.php

**Mr N.** · 23/12/2005, 16h48

Et chez toi ca donne quoi ?

**Mr N.** · 23/12/2005, 16h49

Ehh mais ca marche pas !
je retrouve pas \' !!!

**Death83** · 23/12/2005, 16h53

dans la BDD j'ai ca lol:

Que vaut magic_quotes_runtime chez free ?

Sinon je suis pas trop d\'accord de le mettre partout à l\'aveugle

si je rentre explicitement ceci :
Code:
\\\'

chez toi apres le addslashes, dans la bd on a :
Code:
\\\'

si tu ressors le truc, tu fais un stripslashes dessus et tu te retrouves avec
Code:
\'
Sad

Alors que chez free, quand tu ressors de mysql tu te retrouves avec
Code:
\\\\\\\'

plus le stripslashes :
Code:
\\\'

A confirmer bien sur...

**Death83** · 23/12/2005, 16h55

Par contre je viens de faire un test avec

"text" 'text'

et ca affiche bien ce qu'il faut.

Apres dans mon cas je ne pense pas que je me trouverais dans un cas ou mes posteur mettrons des \' ou des \" dans leur text.

**Mr N.** · 23/12/2005, 17h00

je l'espère pour toi

**licorne** · 23/12/2005, 17h02

Envoyé par Mr N.

au fait c'est des quotes et pas des guillemets qu'il faut utiliser :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$requete_infojour = "UPDATE infojour SET ij_titre = '".mysql_real_escape_string($titre)."',ij_texte = '".mysql_real_escape_string($texte)."' ,ij_date = '".$date."' ,ij_ligne = '".$ligne."' WHERE ij_id = '.$ident_ij.' AND ij_pijid = '.$ident_ag;

....