Discussion :

[AyManoVic]

bonsoir
j'essaie de nettoyer mes requêtes j'ai utilisé ce code comme solution :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$bad_query = array("'","\\",);
str_replace($bad_query,"",$_SERVER['QUERY_STRING']);

le probleme c'est que sur mon serveur local
version PHP 5.2.6 ça marche à merveille , mais sur mon serveur [hostgator ] php version 5 ça ne marche pas
j'ai changé alors de version vers la PHP 4 et ça marche (mais pas comme le serveur local )
pouvez vous m'aider a resoudre ce probleme ?

[RunCodePhp]

Salut

Il y a peut être une erreur en copiant ton code ici, mais ce que je ne comprend pas, c'est que tu n'échappe pas les quotes ' (ou apostrophes), mais tu les remplace par des anti-slash \
Les contenus ne sont donc fidèlement respectés.
C'est volontaire ou c'est une erreur ?


La différence que tu remarque en Php4 et Php5 est lié à cette directive magic_quotes_gpc, selon quelle soit à On ou Off.

Le mieux à faire ici, c'est suivre les conseils, et c'est noté dans le php.ini :

We strongly recommend you use the escaping mechanisms
designed specifically for the database your using instead of relying on this feature.
Also note, this feature has been deprecated as of PHP 5.3.0 and is scheduled for removal in PHP 6.

Donc recommande fortement de se tourner du coté de la Bdd pour traiter le cas des quotes.
C'est aussi déjà déprécié dans les versions de Php5.3.* et sera définitivement supprimé en Php6.

En somme, la communauté Php admet avoir fait une erreur en proposant cette directive magic_quotes_gpc (et ce que ça y fait quand c'est à On), et fera machine arrière en la supprimant.
Donc reproduire (artificiellement) la même chose c'est refaire la même erreur finalement.

Donc il vaut mieux éviter ça, soit faire des remplacement systématiques, mais d'appliquer les échappements là où c'est nécessaire avec les fonctions prévues pour, et uniquement.

Pour enregistrer les données dans la Bdd par exemple, et si tu utilise les fonctions mysql_*, alors faut appliquer des mysql_real_escape_string().
Pour la Bdd toujours, il y a aussi PDO, et si on utilise les requêtes préparées, il y aura rien à rajouter, PDO s'occupe de tout.

[AyManoVic]

je pense que le code remplace les élements du tableau $bad_query par un espace non ?
j'echappe donc les antislashs et les quotes
Pour le reste , rien à dire tres bien expliqué ^^