Forum d'entraide PHPFrance

Bonjour,

Je vous explique mon souci, je suis en train de créer un formulaire pour enregistrer des news dans une bdd, donc le titre et le contenu me reviennent sous forme de variable, mais le souci c'est que le contenu va surement contenir des quotes, alors comment faire pour que ça ne fausse pas la requête ?

	$query = "INSERT INTO news ( titre, news) 
	
	VALUES ('$nomnews', '$news' ); ";
	

Car $news est un gros texte contenant des ' et des "" ...

Si vous aviez une petite idée ... Merci !

http://php.net/manual/fr/function.mysql ... string.php
http://www.php.net/manual/fr/security.d ... ection.php

Pour le second lien, je n'ai pas peur de l'injection, c'est dans une partie admin sécurisée.
Et j'ai essayé le 1er, sans grand résultat ... ça devrait donner :

$nomnews=$_POST['NomNews'];
	$news=$_POST['news'];
         
	$query = sprintf("INSERT INTO news ( titre, news) VALUES ('$nomnews', '$news' )", mysql_real_escape_string($news));
	
	echo $query;
	

Non ?

Pour le second lien, je n'ai pas peur de l'injection, c'est dans une partie admin sécurisée.

Ben tien.

Ok rien n'est sécurisé sur Internet, mais ce n'est pas le but de ce topic ...

Sujet à lock. Merci.

salut ,

pour sécuriser des données avant l'insertion dans la db tu peux utiliser mysql_real_escape_string() comme ca :

$query="INSERT INTO news ( titre, news) VALUES ('".mysql_real_escape_string($nomnews)."', '".mysql_real_escape_string($news')."' )";

http://php.net/manual/fr/function.mysql ... string.php