par
naholyr » 29 sept. 2007, 17:46
Elle est utile typiquement dans les deux cas suivants :
- Construction d'une requête SQL (mais on lui préfèrera mysql_real_escape_string() ou toute autre fonction dédiée selon le moteur).
- Construire une commande Shell (mais on lui préfèrera escapeshellarg()).
- Construire une expression dédiée à passer dans eval() (mais là il y a bien d'autres précautions à prendre en plus).
Et probablement d'autres cas, mais j'imagine qu'à chaque fois il existe une fonction dédiée qui est plus conseillée.
En fait il s'agit d'une fonction de protection générique, donc forcément moins efficace que la dédiée, mais qui suffit dans 99% des cas. Et surtout il s'agit du pendant de l'infame option magic_quotes_gpc, qui permet aux dévs trop fainéants pour se poser des questions d'avoir des scripts non sensibles aux injections SQL (quand bien même ils ne sauraient même pas ce que c'est).
Et sinon oui je fais le même constat que toi, plus le temps passe, et moins j'appelle cette fonction.
Elle est utile typiquement dans les deux cas suivants :
- Construction d'une requête SQL (mais on lui préfèrera mysql_real_escape_string() ou toute autre fonction dédiée selon le moteur).
- Construire une commande Shell (mais on lui préfèrera escapeshellarg()).
- Construire une expression dédiée à passer dans eval() (mais là il y a bien d'autres précautions à prendre en plus).
Et probablement d'autres cas, mais j'imagine qu'à chaque fois il existe une fonction dédiée qui est plus conseillée.
En fait il s'agit d'une fonction de protection générique, donc forcément moins efficace que la dédiée, mais qui suffit dans 99% des cas. Et surtout il s'agit du pendant de l'infame option magic_quotes_gpc, qui permet aux dévs trop fainéants pour se poser des questions d'avoir des scripts non sensibles aux injections SQL (quand bien même ils ne sauraient même pas ce que c'est).
Et sinon oui je fais le même constat que toi, plus le temps passe, et moins j'appelle cette fonction.
