PHPfrance

la communauté d'entraide francophone dédiée au PHP

mysql_escape_string + addslashes(

Répondre


Cette question est un moyen d’empêcher des soumissions automatisées de formulaires par des robots.
Smileys
:D :) :( :o :shock: :? 8-) :lol: :x :P :oops: :cry: :evil: :twisted: :roll: :wink: :!: :?: :idea: :arrow: :| :mrgreen: =D> #-o =P~ :^o :non: :priere: 8-|
Voir plus de smileys
  Revue du sujet
 

  Étendre la vue Revue du sujet : mysql_escape_string + addslashes(

par AB » 19 juin 2008, 19:50

Il est très recommandé d'utiliser mysql_real_escape_string() cf doc http://fr2.php.net/function.mysql-real-escape-string
Cette fonction doit toujours (avec quelques exceptions) être utilisée pour protéger vos données avant d'envoyer la requête à MySQL.

par katagoto » 19 juin 2008, 17:49

htmlspecialchars() mais je ne suis pas sûr, si quelqu'un pouvais confirmer...

par marcello2 » 19 juin 2008, 17:33

Bon alors j'adopte 
$coeur=mysql_escape_string(($coeur);
en croisant les doigts pour que ma base soit à l'abri des injections sql

Re: mysql_escape_string + addslashes(

par AB » 19 juin 2008, 17:13

Est-ce que cette formulation me protège des injections php tout en permettant l'échappement des apostrophes ?
$coeur=mysql_escape_string(addslashes($coeur));
C'est pas bon. mysql_escape_string va ajouter des slashes donc va faire double emploi avec addslashes. Tu auras trop de slashes insérés dans ton texte.

par katagoto » 19 juin 2008, 15:48

Oui, avec htmlspecialchar() ça fait le même résultat si je me trompe pas...

mysql_escape_string + addslashes(

par marcello2 » 19 juin 2008, 15:16

Est-ce que cette formulation me protège des injections php tout en permettant l'échappement des apostrophes ?
$coeur=mysql_escape_string(addslashes($coeur));