mysql_real_escape_string() suffisant contre les injections SQL?

sff · 16 Mai 2009

Bonjour,

Il y a quelques temps pour me protéger des injections sql, j'utilisais des addslashes, mais récemment on m'a dit que ce n'était pas suffisant, dans j'ai recoder l'ensemble de mon site avec mysql_real_escape_string().

Mais voila que depuis peu j'entends parler de mysqli_real_escape_string() qui serait semble t'il plus performant.

Faut-il que je recoder de nouveau tout mon site ou mysql_real_escape_string() est suffisant ?

blman · 16 Mai 2009

Je viens de lire ça sur la doc PHP : http://fr3.php.net/manual/fr/book.mysqli.php (je ne connaissais pas)

Si il s'agit d'échapper des données, à mon avis, les 2 fonctions agissent exactement de la même manière. Donc à mon avis, garde mysql_real_escape_string(), ça sera déjà très bien comme ça.

RiPSO · 17 Mai 2009

pourquoi créer une nouvelle discussion?
https://www.webrankinfo.com/forum/t/addslashes-et-appostrophes.111189/

dorian53 · 17 Mai 2009

sff a dit:
Mais voila que depuis peu j'entends parler de mysqli_real_escape_string() qui serait semble t'il plus performant.

Oui il est vrai que MySQLI est plus performant .
D'une manière générale, l'API MySQLI est la copie de MySQL avec plus de foctionnalité, elle été entièrement recodée depuis PHP5.

sff a dit:
Faut-il que je recoder de nouveau tout mon site ou mysql_real_escape_string() est suffisant ?

Non, quitte à tout recoder pense plutôt à migrer vers l'abstraction de base de données et PDO () parce que dans la version 6 de PHP, seul PDO sera intégré en natif. Les autres APIs seront déplacées dans PECL.