TychoBrahe
Messages postés1309Date d'inscriptionsamedi 31 janvier 2009StatutMembreDernière intervention 5 juin 201312 13 déc. 2011 à 10:55
Salut,
En fait ça va surtotu dépendre de l'extension que tu utilises, chacune a sa propre manière de faire et ce sera beaucoup plus sûr qu'un simple addslashes().
msi079
Messages postés212Date d'inscriptionlundi 2 août 2010StatutMembreDernière intervention25 juillet 2013 13 déc. 2011 à 22:25
je comprend pas bien explique moi mieux et propose moi une methode sinon une solution.merci d'avance . et comment utiliser addslashes() avec un exemple. est- le meme methode que mysql_real_escape_string().
par exemple pour mysql_real_escape_string()j'utilise :
est-ce qu'il faut simplement remplacer mysql_real_escape_string() par addslashes() dans ce code ci-dessous :
/*faut securiser*/
foreach($_POST as $k => $v){
$v=mysql_real_escape_string(strip_tags($v));
$_POST[$k]=$v;
}
/*faut securiser*/
foreach($_GET as $k => $v){
$v=mysql_real_escape_string(strip_tags($v));
$_POST[$k]=$v;
}
TychoBrahe
Messages postés1309Date d'inscriptionsamedi 31 janvier 2009StatutMembreDernière intervention 5 juin 201312 13 déc. 2011 à 23:12
Regarde les fonctions que tu utilises pour interagir avec oracle, elles vont être d'une même "famille". Regarde leur doc et tu devrais voir comment, dans cette famille de fonctions, tu peux faire pour échapper les caractères spéciaux.
Ensuite ta méthode avec des foreach sur $_GET et $_POST, c'est une honte. Tu es en train de refaire une sorte de Magic Quotes. Sérieusement, arrêtes tout de suite ce genre de choses, c'est très mauvais. Tu trouveras pas mal d'argumentaires contre les magic quotes (qui ont été d’ailleurs supprimés dans php 5.4), je te laisse chercher un peu et lire tout ceci.