Discussion :

[pierrehs]

Bonjour,
Je voudrais savoir si il existe d'autres fonctions similaire à htmlentities car j'ai acheté un livre php avancé et je ne trouve pas ce type de fonction.

Au passage pouvez-vous me dire la fonction mais pour le MySQL pour éviter les injection SQL

Merci

[RunCodePhp]

Salut

L'autre fonction (la petite soeur si on peu dire) c'est htmlspecialchar().
-> La doc : http://fr2.php.net/manual/fr/functio...ecialchars.php

Et pour MySQL c'est mysql_real_escape_string()
-> La doc : http://fr2.php.net/manual/fr/functio...ape-string.php


Donc n'oublie pas qu'en parallèle tu as la doc officiel Php qui est la bible en la matière qui t'apportera un excellent complément à ton bouquin


A coté de ça, Php à introduit une classe PDO qui théoriquement devrait supplanter/remplacer très avantageusement les fonctions mysql_*
L'avantage c'est que PDO propose de faire des requêtes préparées, et par conséquent les données sont protégées contre les injections SQL (faut quand même bien respecter le principe).
La doc comme d'hab : http://fr2.php.net/manual/fr/class.pdo.php

[pierrehs]

Merci
Et vous me conseillez le quel
htmlspecialchars ou htmlentities ?
Et pour mysql_real_escape_string() c'est la quel qui la remplace pour PDO
Merci

[ABCIWEB]

Utilises htmlspecialchars, ça t'évitera de spécifier l'encodage si tu travaille en utf-8 (recommandé).

Concernant mysql il ne faut plus utiliser cette extension car elle n'est plus en développement (cf tableau bas de cette page)

Alternativement ce qui se rapproche le plus des exemples que tu trouveras avec mysql est mysqli. Donc éventuellement tu peux utiliser cette extension qui permet aussi de faire des requêtes préparées si besoin.

Quand on fait des requêtes préparées avec mysqli il n'y a pas besoin d'utiliser mysqli_real_escape_string. La doc de mysqli se trouve dans le lien ci-dessus.

Concernant PDO c'est surtout intéressant pour avoir un minimum de réécritures de requêtes à faire si on change de moteur de base de données.

Par contre tu sera "un peu" dérouté pour faire des requêtes avec PDO depuis des exemples avec mysql. L'avantage de commencer par mysqli c'est que sa syntaxe est presque identique à mysql d'une part et que les exemples d'utilisation de mysqli sont doublés d'exemples avec msqli en mode objet qui possède une syntaxe assez voisine de PDO... çe qui permet de faire un passage plus en douceur vers PDO par la suite si besoin.

D'un autre côté tant que tu es certain de ne pas avoir à changer de moteur de bdd, tu peux utiliser mysqli sans souci. Je veux dire par là que même si PDO représente assez consensuellement l'avenir, mysqli est encore recommandé par le manuel donc ton code pourra fonctionner durant de très longues années avec les réglages par défaut des serveurs.