question concernant mysql_real_escape_string insertion dans une table

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par jonny, 21 Octobre 2009.

  1. jonny
    jonny WRInaute discret
    Inscrit:
    8 Juin 2009
    Messages:
    65
    J'aime reçus:
    0
    Bonjour,

    J'ai une petite question concernant la fonction mysql_real_escape_string en php :

    A quoi doit ressembler le contenu des champs insérés dans une table via cette fonction ?

    Je m'explique :

    Je traite un champ d'un formulaire par exemple : $var=mysql_real_escape_string($_POST["formvar"]);

    j'insère dans ce champ toto’ OR 1<2 OR login=’ .

    Mon script traite le formulaire et me renvoie un mail de confirmation où je vois tous les champs saisis.
    Ma fonction traite bien les caractères "interdits" et j'obtiens dans mon mail : $var = toto’ OR 1. Jusque là tout fonctionne bien.

    Par contre quand je regarde le champ de la table liée à $var, je m'aperçois que l'insertion s'est faite sous la forme toto’ OR 1<2 OR login=’ . Est-ce normal ?

    Merci de m'éclairer !

    a+
     
  2. forty
    forty WRInaute passionné
    Inscrit:
    30 Octobre 2008
    Messages:
    1 901
    J'aime reçus:
    0
    si ce que tu as dans la table correspond a ce que tu as saisie : le résultat est normal. c'est le but ce cette fonction d'empêcher d'interpréter un contenu de zone comme une instruction SQL.
    sil il y a une différence entre le mail et la table c'est que tu as du oublier d'utiliser la fonction htmlspecialchars('une chaine')
     
  3. jonny
    jonny WRInaute discret
    Inscrit:
    8 Juin 2009
    Messages:
    65
    J'aime reçus:
    0
    Ok, merci pour la réponse.

    OK, c'est ce que je j'ai. Je saisi toto’ OR 1<2 OR login=’ et dans la table j'ai toto’ OR 1<2 OR login=’.

    cependant
    C'est ce que j'ai aussi. Dans le mail j'ai $var = toto’ OR 1 et dans la table pour le champ correspondant j'ai toto’ OR 1<2 OR login=’

    Donc la réponse à ma question est là...

    D'ailleurs le plus important est de protéger le champ grâce à mysql_real_escape_string, non ?
    Ou le fait d'avoir toto’ OR 1<2 OR login=’ dans la table est "dangereux" aussi ?
     
  4. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    9 182
    J'aime reçus:
    351
    Et à tout hasard, les "quotes" que tu nous montre ici c'est des "curly quotes", je ne sais pas dire si elles sont "échappées" comme des quotes normales:
    Celles que tu nous montre:
    Code:
    Une quote normale:
    Code:
    '
    ... à tester.
     
  5. jonny
    jonny WRInaute discret
    Inscrit:
    8 Juin 2009
    Messages:
    65
    J'aime reçus:
    0
    Bien vu !

    ça change le traitement du formulaire du coup...

    en utilisant les quotes normales dans mes champs avec : toto' OR 1<2 OR login=' et plus toto’ OR 1<2 OR login=’

    le mail que je reçois en retour est coupé, c'est à dire que le traitement s'arrête après le première vérification des champs via mysql_real_escape_string.

    Donc j'obtiens :

    $var1 : toto\\\' OR 1 Puis plus rien... Alors qu'avant j'avais toute une série de variables vérifiée...

    Le reste fonctionne (insertion table...)

    C'est ça qu'est sensée faire la fonction mysql_real_escape_string ?
     
  6. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    9 182
    J'aime reçus:
    351
    Si tu as 3 \\\ avec mysql_real_escape_string, ça doit être les magic_quotes qui sont activées
     
  7. jonny
    jonny WRInaute discret
    Inscrit:
    8 Juin 2009
    Messages:
    65
    J'aime reçus:
    0
    je suis sur un serveur mutualisé, ça va être tendu de mettre à off cette fonction...

    mais ce n'est pas ça qui pose problème (me tromp-je ?)

    sinon,
    Je me répète, mais n'ayant aucune idée de ce que doit faire cette fonction mysql_real_escape_string, si tu as une idée, ce serait cool...
     
Chargement...
Similar Threads - concernant mysql_real_escape_string insertion Forum Date
WordPress Avis concernant un site. Demandes d'avis et de conseils sur vos sites 21 Avril 2022
WordPress Avis et question concernant une optimisation dû à de multiples sites Demandes d'avis et de conseils sur vos sites 18 Avril 2022
Personne n'est parfait, des avis bons à prendre concernant mon site ? Demandes d'avis et de conseils sur vos sites 27 Juillet 2020
Besoin d'aide concernant modification sur mon blog dans la barre URL. Développement d'un site Web ou d'une appli mobile 25 Juillet 2018
Questions concernant La déclaration européenne de services (DES) Droit du web (juridique, fiscalité...) 16 Janvier 2018
Bonjour demande d'aide concernant .htaccess URL Rewriting et .htaccess 27 Avril 2017
Nouveau site concernant l'immobilier Demandes d'avis et de conseils sur vos sites 20 Décembre 2016
Concernant le mail de Google et la nouvelle législation européenne AdSense 4 Septembre 2015
Questionnaire concernant le nb de produits par page e-commerce 9 Août 2015
Question concernant les préférences de Mister Google Référencement Google 4 Août 2015
question concernant memory_get_usage Développement d'un site Web ou d'une appli mobile 11 Mai 2015
Questions concernant l'affichage des informations Google + dans les SERPs Google+ 30 Avril 2015
Sélection de mots clés pertinents concernant un domaine Débuter en référencement 12 Février 2015
suppression de pages web vous concernant.... Droit du web (juridique, fiscalité...) 29 Janvier 2015
Plainte de la CNIL, concernant des mentions d'un "pseudo", comment procéder au mieux ? Droit du web (juridique, fiscalité...) 5 Novembre 2014
Données inexistantes concernant mon site sur mustat(dot)com Problèmes de référencement spécifiques à vos sites 19 Août 2014
Besoin d'aide concernant les indexes - Mysql Développement d'un site Web ou d'une appli mobile 24 Juillet 2014
Modele MVC : Question concernant le choix des controleurs Développement d'un site Web ou d'une appli mobile 27 Juin 2014
Conseils concernant un plagiat Rédaction web et référencement 13 Juin 2014
Avis concernant un projet Demandes d'avis et de conseils sur vos sites 23 Mai 2014