PHPfrance

la communauté d'entraide francophone dédiée au PHP

Simple quote, double quote, et ?

Répondre


Cette question est un moyen d’empêcher des soumissions automatisées de formulaires par des robots.
Smileys
:D :) :( :o :shock: :? 8-) :lol: :x :P :oops: :cry: :evil: :twisted: :roll: :wink: :!: :?: :idea: :arrow: :| :mrgreen: =D> #-o =P~ :^o :non: :priere: 8-|
Voir plus de smileys
  Revue du sujet
 

  Étendre la vue Revue du sujet : Simple quote, double quote, et ?

Re: Simple quote, double quote, et ?

par linesoft » 26 mai 2011, 16:10

salut ,

pour sécuriser des données avant l'insertion dans la db tu peux utiliser mysql_real_escape_string() comme ca :

$query="INSERT INTO news ( titre, news) VALUES ('".mysql_real_escape_string($nomnews)."', '".mysql_real_escape_string($news')."' )";



http://php.net/manual/fr/function.mysql ... string.php

Re: Simple quote, double quote, et ?

par Ez3kiel » 24 mai 2011, 12:36

Sujet à lock. Merci.

Re: Simple quote, double quote, et ?

par Ez3kiel » 24 mai 2011, 11:42

Ok rien n'est sécurisé sur Internet, mais ce n'est pas le but de ce topic ... :?

Re: Simple quote, double quote, et ?

par popy » 24 mai 2011, 11:39

Pour le second lien, je n'ai pas peur de l'injection, c'est dans une partie admin sécurisée.
Ben tien.

Re: Simple quote, double quote, et ?

par Ez3kiel » 24 mai 2011, 11:29

Pour le second lien, je n'ai pas peur de l'injection, c'est dans une partie admin sécurisée.
Et j'ai essayé le 1er, sans grand résultat ... ça devrait donner :
$nomnews=$_POST['NomNews'];
	$news=$_POST['news'];
         
	$query = sprintf("INSERT INTO news ( titre, news) VALUES ('$nomnews', '$news' )", mysql_real_escape_string($news));
	
	echo $query;
Non ?

Re: Simple quote, double quote, et ?

par stealth35 » 24 mai 2011, 11:06

http://php.net/manual/fr/function.mysql ... string.php
http://www.php.net/manual/fr/security.d ... ection.php

Simple quote, double quote, et ?

par Ez3kiel » 24 mai 2011, 11:04

Bonjour,

Je vous explique mon souci, je suis en train de créer un formulaire pour enregistrer des news dans une bdd, donc le titre et le contenu me reviennent sous forme de variable, mais le souci c'est que le contenu va surement contenir des quotes, alors comment faire pour que ça ne fausse pas la requête ? #-o 
	$query = "INSERT INTO news ( titre, news) 
	
	VALUES ('$nomnews', '$news' ); ";
Car $news est un gros texte contenant des ' et des "" ...

Si vous aviez une petite idée ... Merci !