Insertion SQL...

[zimounet]

Faut il mieux

Echapper les guillemets et simple guillemets avec addslashes, ou convertir en html avec htmlentities (puis éventuellement ENT_quotes) avant insertion?

Cela ne pose-il pas probleme lors de recherches ou requetes, comparaison, classement etc dans la bdd?

Plus généralement, quel traitement faites vous subire, et de quel manière aux chaines inséré par le visiteur (formulaire etc)

 

[spout]

Plus généralement, quel traitement faites vous subire, et de quel manière aux chaines inséré par le visiteur (formulaire etc)

1° addslashes (Magic Quotes désactivé)
2° strip_tags
3° trim

 

[petit-ourson]

J'aurai dit que l'un des deux fonctions suivantes suffiraient :

string mysql_escape_string ( string unescaped_string )
ou
string mysql_real_escape_string ( string unescaped_string [, resource link_identifier] )

J'aime bien conserver une base de données clean, on ne sait jamais si on souhaite la réutiliser avec autre chose.

 

[sgaze]

Je crois que tout est dit dans la doc :

Cette fonction doit toujours (avec quelques exceptions) être utilisée pour protéger vos données avant d'envoyer la requête à MySQL.
...
L'utilisation de la fonction mysql_real_escape_string() sur chaque variable évite les injections SQL. Cet exemple démontre la méthode la plus propre pour envoyer une requête à la base, indépendamment de votre configuration des guillemets magiques.

Exemple à la page : http://fr2.php.net/manual/fr/function.m ... string.php

Si magic_quotes_gpc est activée, appliquez d'abord la fonction stripslashes() à vos données.