Insertion SQL: comment faites vous?

zimounet · 5 Décembre 2005

Hello!

Je voulais savoir comment faites vous pour sécuriser vos insertions sql.

Deux probleme se pose:

Lorsqu'on fait un htmlentities pour insérer par exemple un url provenant d'un formulaire:

A l'affichage, si il y a des quotes ou des & etc, hé ben sa foire!

Faire un addslashes avant d'insérer les données et un stripslashes pour les réafficher est une bonne méthode?

dmathieu · 5 Décembre 2005

addslashes et stripslashes, c'est ce que j'utilise, apres, le gros probleme des failles, c'est que tant qu'elle n'a pas été exploitée ou découverte, on sait pas si elle existe

petit-ourson · 5 Décembre 2005

Je fais un unique mysql_escape (je crois que c'est ça) et apres c'est au moment de l'affichage que je traite. J'aime pas avoir des base de données encodées ;o)

zimounet · 5 Décembre 2005

petit-ourson a dit:
Je fais un unique mysql_escape (je crois que c'est ça) et apres c'est au moment de l'affichage que je traite. J'aime pas avoir des base de données encodées ;o)

faudrais savoir! lol c'est bien mysqlescape?

zimounet · 5 Décembre 2005

Je viens de trouver: mysql_escape_string() voir meme mysql-escapte_real_string:
http://doc.domainepublic.net/mysql/doc. ... tring.html

petit-ourson · 6 Décembre 2005

zimounet a dit:
Je viens de trouver: mysql_escape_string() voir meme mysql-escapte_real_string:
http://doc.domainepublic.net/mysql/doc. ... tring.html

oui oui, c'est celle ci ;o)

spout · 6 Décembre 2005

zimounet a dit:
Faire un addslashes avant d'insérer les données et un stripslashes pour les réafficher est une bonne méthode?

Biensur que non !
https://www.webrankinfo.com/forum/t/comment-recuperez-vous-vos-valeurs-de-form.41013/

"escaper" pour ajouter dans la BDD = OK
mais de là à refaire un stripslashes pour afficher, surement pas !

... Ahhh ces magic quotes...