Bonjour,

Sur une page de traitement, je protège l'injection MySql en protégeant mes variables de session avec

quote_smart

.

Mon souci est le suivant. Lorsque je veux rappeler sur une deuxième page une variable de session, celle-ci est entourée de quotes (par exemple : 'variable') ? Comment supprimer ces quotes inesthétiques ?

Stripslashes

ne fonctionne pas pour les quotes...

Certes, un moyen de contourner la difficulté serait sur la première page de créer de nouvelles variables sans les protéger pour les rappeler sur la deuxième page... Mais procéder ainsi relèverait selon moi d'un bidouillage éhonté.

Merci beaucoup.

Cordialement,

Théo

Bonjour,

A ma connaissance, quote_smart() n'est pas une fonction du langage PHP (en tout cas la doc ne la trouve pas )

Re..

Je veux bien ne pas me servir de quote_smart mais :

1. Comment protéger mes données de l'injection ?

2. J'ai l'impression (comme je débute, je n'affirme rien !) que mes requêtes ne fonctionnent pas lorsque je ne protège pas mes données avec quote_smart.

Ainsi, sans quote_smart, la requête suivante ne marche pas : que j'applique ou non mysql_real_escape_string à mes variables de session.

Le navigateur m'indique :

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in ... on line ...

En revanche, si au préalable, j'écris :

function quote_smart($value) 
{ 
if (get_magic_quotes_gpc()) { 
$value = stripslashes($value); 
} 
if (!is_numeric($value)) { 
$value = "'" . mysql_real_escape_string($value) . "'"; 
} 
return $value; 
}

$_SESSION['pcnom'] = quote_smart($_SESSION['pcnom']);
$_SESSION['pcidentification'] = quote_smart($_SESSION['pcidentification']);

ma requête fonctionne...

Naturellement, avant mes requêtes (je ne l'indique pas pour ne pas alourdir le "post'" figurent mes identifiants de connexion à la base de données).

Pourquoi ??? Je suis un peu perdu...

Merci pour votre aide.

Amitiés,

Théo

Tu devrais lire attentivement un excellent tuto sur le sujet