cs_windu
Messages postés282Date d'inscriptionvendredi 16 mai 2003StatutMembreDernière intervention19 juillet 2006 8 sept. 2004 à 13:19
Perso, je préfère le faire avant dutiliser ce texte (enregistrement dans la BDD ou traitement à partir d'une variable), car c'est tjs plus propre... on évite ainsi de garder du texte "sale" en mémoire (que ce soit dans une variable, ou dans un champ)
De plus, on peut ainsi s'assurer que les informations saisies par l'utilisateur correspondent à ce que l'on s'attend... Ya pas de surprises au moment de l'affichage!!
On peut aussi renvoyer l'utilisateur sur le formulaire de saisie en cas d'erreur...
Sujet intéressant, j'attends l'avis d'autre développeur (pas forcément PHP d'ailleurs... ce sujet concerne tous les langages de prog à mon avis!)
Que la Force soit avec toi,
Jeune Padawan!!!
cs_GRenard
Messages postés1662Date d'inscriptionlundi 16 septembre 2002StatutMembreDernière intervention30 juillet 20081 8 sept. 2004 à 13:41
Après...
Car, si tu l'as apres, à la sortie le texte EXACT que l'utilisateur a entré (tu peux en avoir besoin) et SI tu veux foutre une fonction dessus, tu le fais...
Si tu le fais avant, bah tu sais plus ce que l'utilisateur a entré...
PHP Guru
Écoutez les conseils d'un vieux sage ! Ils sont souvent très utiles.
http://www.lookstrike.com
cs_windu
Messages postés282Date d'inscriptionvendredi 16 mai 2003StatutMembreDernière intervention19 juillet 2006 8 sept. 2004 à 23:25
oki, je trouve vos arguments valables,mais si on garde les valeurs sans chercher à les "purifier", on risque des SQL injection...
En gros, l'utilisateur pourrait magouiller une requete SQl en placant des caractères utilisés en temps normal pour commenter le SQL, et ainsi modifier la requete!
c'est pour ca que je préfère "nettpyer" les valeurs saisies par l'utilisateur:
"Never Trust User input!"
cs_GRenard
Messages postés1662Date d'inscriptionlundi 16 septembre 2002StatutMembreDernière intervention30 juillet 20081 9 sept. 2004 à 03:52
Erreur... il ne peux pas "Magouiller" ta requete... par défaut, tu as des \ qui sont placé devant les ' et les "... donc ce n'est pas supposé...
Mais si toi tu as désactivé cette option, c'est bien ton problème...
Mais tes arguments ne sont pas corrects pour mettre avant... et si ya un cave ki dit "ouais mais pour phpmyadmin" ... jsais pas ske jy fais :P
(phpmyadmin fait le encoding à sa sortie !)
PHP Guru
Écoutez les conseils d'un vieux sage ! Ils sont souvent très utiles.
http://www.lookstrike.com