Addslashes et appostrophes

sff · 14 Mai 2009

Bonjour,

J'aimerais savoir si la seule solution pour enregistrer correctement des textes avec apostrophes dans la bdd est l'utilisation des addslashes.

Exemple:

Code:

$texte : "appostrophe ' ici";

$mysql->query("INSERT INTO ".$mysql->pref."_table VALUES('', '".addslashes($texte)."')");

Merci

RiPSO · 15 Mai 2009

bin il y a d'autres solutions mais vu que ça fonctionne je vois pas pourquoi chercher autre chose :?

dorian53 · 15 Mai 2009

Salut,

La fonction addslashes ne suffit pas pour se protéger des injections SQL.

Il est fortement recommandé d'utiliser les fonctions de protection spécifiques à chaque base de données (telle que mysqli_real_escape_string() pour MySQL.

http://fr.php.net/manual/fr/mysqli.real-escape-string.php

RiPSO · 15 Mai 2009

euhhhh t'as pas une bonne page qui explique les injections sql stp?

dorian53 · 15 Mai 2009

Pourquoi chercher compliquer : http://fr.wikipedia.org/wiki/Injection_SQL

RiPSO · 15 Mai 2009

dorian53 a dit:
Pourquoi chercher compliquer : http://fr.wikipedia.org/wiki/Injection_SQL

Merci en fait j'avais compris dans une autre discussion :d

mais sinon je vois pas en quoi ca fait de l'injection si tous les apostrophes sont bien remplacés.. :?

sff · 15 Mai 2009

Dans mon cas je vois pas trop comment je peux la protéger.

Pour ma connection sql je procède ainsi :

Connexion.php

Code:

class mysql
{

	var      $host    =    "mysql.site.org"; // Serveur SQL
	var      $user    =    "login";              // Login pour le serveur SQL
	var      $pass    =    "pass";           // Mot de passe pour le serveur SQL
	var      $bdd     =    "nom";          // Nom de votre Base De Données

	function connect()
	{
		@mysql_connect($this->host,$this->user,$this->pass) or die("Erreur de connexion au serveur SQL");
		@mysql_select_db($this->bdd) or die("Impossible de se connecter à la base de données");

		$this->host = "";$this->user = "";$this->pass = "";

	}

	function query($query)

		$mysql = mysql_query($query);
		
		return($mysql);
	}

}

Page.php

Code:

include("connexion.php");
	$mysql = new mysql();
	$mysql->connect();

$texte : "appostrophe ' ici";

$mysql->query("INSERT INTO ".$mysql->pref."_table VALUES('', '$texte')");

De quelle mannière je peux protéger mes requetes ?

UsagiYojimbo · 15 Mai 2009

En "protégeant" toutes les variables utilisées dans les ordres qui sont générées à partir de données que tu ne maîtrise pas à coup sûr (données de formulaires, d'url,etc). Tu peux notamment utiliser mysql_real_escape_string() pour ça.

dorian53 · 16 Mai 2009

RiPSO a dit:
mais sinon je vois pas en quoi ca fait de l'injection si tous les apostrophes sont bien remplacés.. :?

Remplacer les apostrophes ne suffit pas à se protéger des injections car il existe d'autres techniques avec des caractères en hexadécimal.