<?php 
$toto = 'Toto -- ';
$tata = ' -- TATA';
$pdo = new PDO ('mysql:host=localhost;dbname=ta_base', 'root', 'mdp');
$prep = "SELECT colonne FROM table WHERE toto=:toto AND tata=:tata";
$sql = $pdo -> prepare ($prep);
$sql -> execute (array (':toto' => $toto, ':tata' => $tata));
$resultat = $sql -> fetch ();
?>

Autrement dit, au lieu et place de mysql_real_escape_string(), tu auras :
[php]<?php
$toto = 'Toto -- ';
$tata = ' -- TATA';
$pdo = new PDO ('mysql:host=localhost;dbname=ta_base', 'root', 'mdp');
$prep = "SELECT colonne FROM table WHERE toto=:toto AND tata=:tata";
$sql = $pdo -> prepare ($prep);
$sql -> execute (array (':toto' => $toto, ':tata' => $tata));
$resultat = $sql -> fetch ();
?>[/php]

Salut,

Il te faut préparer tes ordres, et c'est PDO qui gère les escapes quand tu fais les binds.


Tracker.

Bonjour,

Je cherche l'équivalent de la fonction mysql_real_escape_string dans le cadre d'une connection à une base mySQL via un objet PDO.

Grosso modo, je cherche un moyen de protéger les caractères spéciaux (', ", ...) de mes chaines de caractères lors des imports en base, sans être obligé de passer par des expressions regulieres.

Merci à ceux qui pourront m'aider.