Formation Google AnalyticsSavez-vous bien utiliser les outils de mesure d'audience ?
Effectuez-vous un calcul de ROI (Retour sur investissement) pour savoir comment améliorer vos campagnes emarketing ?
Savez-vous utiliser les bons outils pour booster votre taux de transformation ?
La formation Web Analytics de Ranking Metrics, présentée par un expert reconnu officiellement par Google Analytics, vous apportera les réponses à toutes vos questions !
===> Informations et inscriptions.

Insertion SQL...
Poster un nouveau sujet Imprimer cette discussion    Forum -> Développement d'un site Web   Les dernières discussions de ce forum sont disponibles au format RSS
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
 
zimounet
WRInaute accro
WRInaute accro

Inscrit le: 08 Nov 2004
Messages: 1799
Localisation: Physiquement ou mentalement?
URL permanente de ce messagePosté le : Lun Oct 24, 2005 6:19    Sujet du message: Insertion SQL...
Faut il mieux

Echapper les guillemets et simple guillemets avec addslashes, ou convertir en html avec htmlentities (puis éventuellement ENT_quotes) avant insertion?

Cela ne pose-il pas probleme lors de recherches ou requetes, comparaison, classement etc dans la bdd?

Plus généralement, quel traitement faites vous subire, et de quel manière aux chaines inséré par le visiteur (formulaire etc)
 
spout
WRInaute passionné
WRInaute passionné

Inscrit le: 14 Mai 2003
Messages: 707
Localisation: Manhay (Belgique)
URL permanente de ce messagePosté le : Lun Oct 24, 2005 6:38    Sujet du message: Re: Insertion SQL...
zimounet a écrit:

Plus généralement, quel traitement faites vous subire, et de quel manière aux chaines inséré par le visiteur (formulaire etc)


1° addslashes (Magic Quotes désactivé)
2° strip_tags
3° trim
 
spout
petit-ourson
WRInaute passionné
WRInaute passionné

Inscrit le: 31 Mai 2004
Messages: 789
Localisation: Paris
URL permanente de ce messagePosté le : Lun Oct 24, 2005 9:09    Sujet du message: Insertion SQL...
J'aurai dit que l'un des deux fonctions suivantes suffiraient :

string mysql_escape_string ( string unescaped_string )
ou
string mysql_real_escape_string ( string unescaped_string [, resource link_identifier] )

J'aime bien conserver une base de données clean, on ne sait jamais si on souhaite la réutiliser avec autre chose.
 
petit-ourson Visiter le site web du posteur
sgaze
WRInaute passionné
WRInaute passionné

Inscrit le: 02 Fév 2004
Messages: 538
Localisation: Clichy la Garenne !
URL permanente de ce messagePosté le : Lun Oct 24, 2005 10:23    Sujet du message: Insertion SQL...
Je crois que tout est dit dans la doc :

Citation:

Cette fonction doit toujours (avec quelques exceptions) être utilisée pour protéger vos données avant d'envoyer la requête à MySQL.
...
L'utilisation de la fonction mysql_real_escape_string() sur chaque variable évite les injections SQL. Cet exemple démontre la méthode la plus propre pour envoyer une requête à la base, indépendamment de votre configuration des guillemets magiques.


Exemple à la page : http://fr2.php.net/manual/fr/function.mysql-real-escape-string.php

Citation:
Si magic_quotes_gpc est activée, appliquez d'abord la fonction stripslashes() à vos données.
 
sgaze Visiter le site web du posteur
 
Montrer les messages depuis:   
Revenir en haut    Forum -> Développement d'un site Web Toutes les heures sont au format GMT + 2 Heures
Page 1 sur 1 - 
Connexion
Nom d'utilisateur:    Mot de passe:      Se connecter automatiquement à chaque visite    

CLIQUEZ ICI pour vous inscrire à WebRankInfo (forum, annuaire, outils...)

Connexion

© 2001-2005 phpBB Group, support français
Personnalisation : WebRankInfo ™

 ODP  Firefox  Alsacreations  annuaire webmaster Yagoort