OK ! :D

Merci bien pour tout Ouaibou.
Je considère mon sujet comme RESOLU :D

A bientôt.

Oui :)

Le tout en utilisant une ou deux fonctions.

function test_magic_quotes(){
if (!get_magic_quotes_gpc()) {
   return false;
}
else {
   return true;
}

//test magic_quote : false => pas activées
if(test_magic_quotes() == false){
    $sMaVarialble = mysql_real_escape_string(trim(htmlspecialchars($_POST["mon_champs"])));
}
else{
    //je ne rajoute pas de slash
    $sMaVariable =  trim(htmlspecialchars($_POST["mon_champs"]));
}

//test magic_quote : false => pas activées
if(test_magic_quotes() == false){
    //Pas de stripslashes() car enregistrée avec mysql_real_escape_string
    echo $sMaVarialble;
}
else{
    //stripslashes() car magic_quote activées
    echo stripslashes($sMaVarialble);
}

Dans mon cas, c'est en interne, donc je pense que j'aurais le droit.

Par contre, ça veut dire que mon script ainsi écrit ne sera pas "universel"...
Il vaut donc mieux alors tester et gérer par 1 fonction à l'enregistrement et à l'affichage des données comme tu le disais l'activation ou non des magic_quote.

Ma solution sera donc :

1- je créé une fonction pour tester les magic_quote
[php]function test_magic_quotes(){
if (!get_magic_quotes_gpc()) {
return false;
}
else {
return true;
}
[/php]

2- je traite mes données avec :

[php]
//test magic_quote : false => pas activées
if(test_magic_quotes() == false){
$sMaVarialble = mysql_real_escape_string(trim(htmlspecialchars($_POST["mon_champs"])));
}
else{
//je ne rajoute pas de slash
$sMaVariable = trim(htmlspecialchars($_POST["mon_champs"]));
}
[/php]

3- pour réafficher mes données :
[php]
//test magic_quote : false => pas activées
if(test_magic_quotes() == false){
//Pas de stripslashes() car enregistrée avec mysql_real_escape_string
echo $sMaVarialble;
}
else{
//stripslashes() car magic_quote activées
echo stripslashes($sMaVarialble);
}
[/php]

Cette fois est-ce plus "universel" ?

Oui, seulement peux-tu réellement modifier les magic quotes. Car si t'es sur un serveur mutualisé, il faut savoir que la plupart ne l'autorise pas.

set_magic_quotes_runtime(0);

$sMaVarialble = mysql_real_escape_string(trim(htmlspecialchars($_POST["mon_champs"])));

OK, merci pour vos réponses.

Donc sinon, d'après ce que tu dis Ultiny, je peux désactiver les magic_quote dans mes scripts (même si elles sont activées sur le serveur).
A ce moment là, je n'ai pas besoin donc de vérifier si elles sont activées ou non, et je traite directement mes données avec la fonction [b]mysql_real_escape_string[/b] ?

Si c'est bien ça, c'est plus pratique...
Pour résumer :

1- dans toutes mes pages le nécessitant, je désactive les magic_quote
[php]set_magic_quotes_runtime(0);[/php]
2- je traite mes données avec :
[php]$sMaVarialble = mysql_real_escape_string(trim(htmlspecialchars($_POST["mon_champs"])));[/php]
3- pour réafficher mes données, je les insère tel quel (puisque mysql_real_escape_string a été utilisé).

Cette solution vous parait-elle correcte ?

Merci encore.

Tu as une directive de configuration qui te permettra de les désactiver dans tes scripts.

set_magic_quotes_runtime(0);

[b]Salut,[/b]

[u]1)[/u] Je sais pas si c'est la meilleur. Je ne sais pas si il existe aussi une solution ultime, mais la tienne semble assez bien.

[u]2)[/u] Effectivement il n'est pas nécessaire d'utiliser [b]mysql_real_escape_string[/b] si les magic quotes sont activées.

Si tu utilise [b]mysql_real_escape_string[/b] il n'est pas nécessaire d'utiliser [b]stripslashes[/b].

[u]3)[/u] Si tu active/désactive les magic quotes, tes données étant déjà enregistrées, elles ont déjà été formaté donc ca ne les modifiera pas.

Le mieux je penses, dans le cas ou tu sais pas si les magic_quotes sont activées ou pas, serait de faire deux fonctions :

- Une parse tes données si les magic quotes ne sont pas activées. Dans le cas contraire elle fait rien.
- Une qui "déparse" tes données si les magic quotes ne sont pas activées. Dans le cas contraire elle fait rien.

@+

$sMaVarialble = mysql_real_escape_string(trim(htmlspecialchars($_POST["mon_champs"])));

Bonjour à tous :D ,

Bon j'ai plusieurs soucis... je dirais même que je suis un peu perdu ! :?
J'espère juste que je suis dans le bon forum.... :) , mais mon problème, même s'il y a du PHP concerne bien l'enregistrement dans la BDD.

J'utilise PHP4 et MySQL 4.1 sous Apache.
Mes questions sont les suivantes :

1- Quelle est la meilleure solution pour traiter les données avant envoie dans la BDD (caractères spéciaux, guillemets...) ?
J'ai lu qu'il fallait désormais utiliser la fonction "[b]mysql_real_escape_string[/b]"...
Donc en gros il faut quand même cumuler tout du style :
[php]$sMaVarialble = mysql_real_escape_string(trim(htmlspecialchars($_POST["mon_champs"])));[/php]
Dans ce cas là, il n'y a plus besoin d'utiliser la fonction "[b]addslashes()[/b]" ?

2- Mon autre problème concerne le fameux paramètre [b]magic_quote[/b].
Il semble qu'il existe bien un moyen de détecter si oui ou non il est activé sur le serveur.
Dans ce cas là, il n'est plus nécessaire d'utiliser la fonction "[b]mysql_real_escape_string[/b]" puisque le serveur le fait lui même... non ?

En revanche, dans tous les cas de figure, il faut bien exécuter la fonction "[b]stripslashes()[/b]" pour l'affichage des données ?

3- Dans le cas où magic_quote était activé, que des enregistrements ont déjà été faits, et que l'on désactive les magic_quote... que se pass-t-il pour l'affichage des données déjà enregistrées ? Ne restera-t-il pas des "[b]\[/b]" en trop ?

Merci de vos réponses car je suis vraiment perdu dans toutes ces documentations et méthodes... :)