Forum d'entraide PHPFrance

Venez poser vos questions PHP, MySQL, HTML5, CSS, Javascript, Gestion de serveurs à la communauté PHPfrance
https://forum.phpfrance.com/

mysql_escape_string + addslashes(

https://forum.phpfrance.com/viewtopic.php?f=8&t=241162

Page 1 sur 1

mysql_escape_string + addslashes(

Posté : 19 juin 2008, 15:16
par marcello2
Est-ce que cette formulation me protège des injections php tout en permettant l'échappement des apostrophes ?
$coeur=mysql_escape_string(addslashes($coeur));

Posté : 19 juin 2008, 15:48
par katagoto
Oui, avec htmlspecialchar() ça fait le même résultat si je me trompe pas...

Re: mysql_escape_string + addslashes(

Posté : 19 juin 2008, 17:13
par AB
Est-ce que cette formulation me protège des injections php tout en permettant l'échappement des apostrophes ?
$coeur=mysql_escape_string(addslashes($coeur));
C'est pas bon. mysql_escape_string va ajouter des slashes donc va faire double emploi avec addslashes. Tu auras trop de slashes insérés dans ton texte.

Posté : 19 juin 2008, 17:33
par marcello2
Bon alors j'adopte 
$coeur=mysql_escape_string(($coeur);
en croisant les doigts pour que ma base soit à l'abri des injections sql

Posté : 19 juin 2008, 17:49
par katagoto
htmlspecialchars() mais je ne suis pas sûr, si quelqu'un pouvais confirmer...

Posté : 19 juin 2008, 19:50
par AB
Il est très recommandé d'utiliser mysql_real_escape_string() cf doc http://fr2.php.net/function.mysql-real-escape-string
Cette fonction doit toujours (avec quelques exceptions) être utilisée pour protéger vos données avant d'envoyer la requête à MySQL.
Heures au format UTC+02:00
Page 1 sur 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/