Enregistrement en bd et mysql_real_escape_string()

Salut,

Y'a aucune variable GET là-dedans, donc pas étonnant que tu ne la récupères pas par la suite :wink:

Code:

<a href="'.$la_ville.'.php?vil='.$la_ville.'">'.$la_ville.'</a>

@+

 

Ouhla...

Alors, petites choses en bataille:

Code:

$lechamp12 = mysql_real_escape_string($_POST["ville"]); 

Il est important pour éviter une erreur de type notice de tester l'existence de la variable auparavant, de cette manière:

Code:

$lechamp12 = isset($_POST["ville"]) ? mysql_real_escape_string($_POST["ville"]) : ''; 

Alors, ensuite, pas besoin de faire un stripslashes pour supprimer les backslash sur le résultat de la base de données car justement, le fait d'avoir utilisé mysql_real_escape_string permet juste d'éviter les SQL injection et n'ajoute PAS de backslash dans la base de données.

Ensuite, quand tu fais un lien $laville.php, cela modifie le nom du fichier mais ne passe rien en paramètre, normal donc de ne rien récupérer.

Il faut faire un lien du type: fichier.php?ville=$laville

 

M'semblait bien :wink:

 

Oui les magic_quotes_gpc ont tendance à pourrir toutes les données en entrée.

La plupart des "frameworks" ou applications qui cherchent de la portabilité commencent par désactiver cette saloperie

Grosso modo je fais ainsi :

Code:

if( ini_get('magic_quotes_gpc') ){
	xxx_gpcStripWalk($_GET);
	xxx_gpcStripWalk($_POST);
	xxx_gpcStripWalk($_COOKIE);
	xxx_gpcStripWalk($_REQUEST);
}
function xxx_gpcStripWalk( & $array )
{
   foreach ( $array as $key => $item ) {
		$newKey = stripslashes($key);
		if ( $newKey !== $key ) {
			unset( $array[ $key ] );
			$array[ $newkey ] = $item;
		}

		if ( is_array($item) === true ) {
			xxx_gpcStripWalk($array[ $newKey ]);
		} else {
			$array[ $newKey ] = stripslashes($item);
		}
	}
}

edit: d'ailleurs en passant, l'utilisation de PDO avec les pseudos requêtes préparées est bien sympathique pour éviter d'oublier les mysql_real_escape_string().
A moins évidement d'utiliser une classe/bibliothèque maison qui s'en charge.

 

erf... désolé.

J'aurais tendance à le conseiller aussi, même si c'est parfois un peu "trop".

"Mon" code intervient justement dans ce genre de cas : exécuté au début de chaque script il annule l'effet de magic_quotes_gpc.

 

dans ton cas mysql_escape_string(stripslashes($_POST['data'])) résoud le problème (comme l'a suggéré Bool)

 

Yep tryam. "Idéallement", si tu as un script qui contient toutes les fonctions que tu utilises le plus souvent, autant l'y mettre directement.

 

Euh.... je sais pas trop si je suis d'accords sur un point:
J'ai un formulaire de saisie et pour récupérer les valeurs, je fais:

Code:

$numAvs = $_SESSION['numAvs'] = mysql_real_escape_string(htmlspecialchars($_POST['numAvs']));

Si je rentre

Code:

va'

et que je vais regarder dans ma base de données, l'entrée correspondante est:

Code:

va\'

Je travaille avec easyPHP 2.0.0.0

Devrais-je faire un

pour supprimer les backslashes (ce qui accomplirait la tâche) mais par contre, le code serait sujet aux injections? Pourriez-vous confirmer?
Et sinon, y'aurait-il une autre alternative?

 

Sinon je crois que tu peux désactiver les magic quotes en mettant un fichier php.ini à la racine de ton site sur 1&1 même en mutu