PROTECTION DES DONNÉES D'INJECTION SQL
kankrelune
Messages postés
1293
Date d'inscription
mardi 9 novembre 2004
Statut
Membre
Dernière intervention
21 mai 2015
-
9 mai 2006 à 01:18
pouda Messages postés 264 Date d'inscription mercredi 18 décembre 2002 Statut Membre Dernière intervention 27 octobre 2014 - 9 mai 2006 à 08:42
pouda Messages postés 264 Date d'inscription mercredi 18 décembre 2002 Statut Membre Dernière intervention 27 octobre 2014 - 9 mai 2006 à 08:42
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
https://codes-sources.commentcamarche.net/source/37517-protection-des-donnees-d-injection-sql
https://codes-sources.commentcamarche.net/source/37517-protection-des-donnees-d-injection-sql
9 mai 2006 à 08:42
Pour le reste des fonction je l'ai récupéré en partie dans le livre edité par nexen, php5 Avancé 2ème edition...mais je vais me repencher sur ton morceau de code il faut qu'apres ca colle avec ce que je veu rélement faire merci uand meme.
9 mai 2006 à 01:18
- 1 - faire des fonctions pour ça c'est inutile... ça revient à faire...
function formattxt($texte)
{
return mysql_escape_string($texte);
}
et...
function formathtml($texte)
{
return htmlspecialchars($texte, ENT_QUOTES);
}
Donc autant utiliser directement htmlspecialchars et mysql_escape_string dans le code plutot que de faire des alias qui n'ont d'utilitée que de ralentir le temps d'execution... .. .
- 2 - ton utilisation de mysql_escape_string n'est pas top... mieux vaut faire...
function escapeString($data)
{
if(!is_numeric($data))
{
if (get_magic_quotes_gpc())
$data = stripslashes($data);
$data = mysql_real_escape_string($data);
}
return $data;
}
C'est plus correcte... .. .
- 3 - tu dis à propos de ta deuxième fonction...
//reformate les données pour l'affichage correcte en html (inverse de formattxt
C'est faux... d'une part cette fonction n'est pas l'inverse de formattxt la première fonction echape des caractères sensible la seconde transforme ces mêmes caractères en entités html, à la limite stripslashes est l'inverse de formattxt mais surement pas formathtml... d'autre part cette fonction ne reformate rien tout du moins dans le sens ou tu l'utilise (ou alors j'ais pas compris)... à la limite htmlentities() formate et html_entity_decode() reformate... .. .
http://www.php.net/manual/fr/function.htmlentities.php
http://www.php.net/manual/fr/function.html-entity-decode.php
- 4 - il faut faire attention au descriptif que tu donne à tes fonctions quand tu les poste... certe ta première fonction à pour utilitée principale de réduire le risque d'injection sql (et non pas de l'empecher) mais ce n'est pas sa seule utilitée... quand à ta deuxième fonction aucun rapport... .. .
Voili voilou... .. .
^_^
@ tchaOo°